Настройка фаервола в Ubuntu с помощью утилиты UFW

Комментарии

Комментариев: 3

  • Avatar
    TimO_n

    Советую в первых минутах работы с фаерволом включить логирование:

    ufw logging on

    Если в логах (/var/log/ufw.log) ваших конектов не видно, не забдьте выключить логирование. Иначе, в случае дудоса, ufw изнасилует ваши диски =)

    Так же, на мой взгляд, правильным будет выставить лимит подключений на порт ssh:

    ufw limit 22/tcp
  • Avatar
    Александр Джуринский (Изменен )

    Упустили важный момент - необходимо учитывать, что по умолчанию правила добавляются в конец списка IPTABLES и применяются они к пакету сверху вниз по списку. Отсюда надо понимать, что если у вас есть список правил к примеру:

         To                         Action      From
         --                         ------      ----
    [ 1] 22                         ALLOW IN    Anywhere                  
    [ 2] 80                         ALLOW IN    Anywhere

    и вы блокируете IP командой:

    sudo ufw deny from 123.45.67.89
         To                         Action      From
         --                         ------      ----
    [ 1] 22                         ALLOW IN    Anywhere                  
    [ 2] 80                         ALLOW IN    Anywhere                  
    [ 3] Anywhere                   DENY IN     123.45.67.89

    то правило будет добавлено в конец списка и заблокированный IP будет продолжать иметь доступ к 22/80 портам.

    Правильнее будет добавлять в начало списка командой:

     sudo ufw insert 1 deny from 123.45.67.89
         To                         Action      From
         --                         ------      ----
    [ 1] Anywhere                   DENY IN     123.45.67.89              
    [ 2] 22                         ALLOW IN    Anywhere                  
    [ 3] 80                         ALLOW IN    Anywhere

     

  • Avatar
    Alexander Kozhevin

    @TimO_n Спасибо за заметку. Добавил раздел про логирование.

Войдите в службу, чтобы оставить комментарий.