インストールの設定#
インストール:
apt install ufw
UFW をインストールすると、デフォルトの状態は常に非アクティブです。IPv6 はデフォルトでサポートされており、アウトバウンドのデフォルトルールは ACCEPT、インバウンドとフォワードのデフォルトルールは DROP です。通常、これが望ましい動作です。ここでは、まず ssh ポートを開放します。そうしないと、アクティブになった後、自分自身を外に閉じ込めてしまいます。
実行:
sudo ufw allow ssh
UFW は、22 ポートに関する 2 つのルールを生成します。1 つは IPv4 用で、もう 1 つは IPv6 用です。もし ssh のリッスンポートが 22 でない場合は、直接ポート番号を指定するだけで構いません。例えば、allow 22222 のようにします。異なる点は、allow ssh は TCP であることを確認することで、allow ポートは TCP と UDP の 2 つのルールを追加します。
この時点で、ufw を有効にします:
ufw enable
この時点で、ufw のステータスを確認します:
ufw status verbose
ufw が有効になり、デフォルトのインバウンドは deny、アウトバウンドはすべて許可され、フォワードはありません。
ルーティングの確認#
iptables -t nat -vnL
一般的なルールコマンド#
ファイアウォールの現在の状態を確認する#
ufw status
ファイアウォールを有効にする#
ufw enable
ファイアウォールを無効にする#
ufw disable
ファイアウォールのバージョンを確認する#
ufw version
外部からのアクセスをデフォルトで許可する#
ufw default allow
外部からのアクセスをデフォルトで拒否する#
ufw default deny
53 ポートへの外部アクセスを許可する#
ufw allow 53
53 ポートへの外部アクセスを拒否する#
ufw deny 53
特定の IP アドレスからのすべてのポートへのアクセスを許可する#
ufw allow from 192.168.0.1
特定のポートを TCP プロトコルで許可する#
ufw allow 80/tcp
特定のポートを UDP プロトコルで許可する#
ufw allow 80/udp
特定のポートを TCP プロトコルで許可しない#
ufw delete allow 80/tcp
特定のポートを UDP プロトコルで許可しない#
ufw delete allow 80/udp
すべてのインバウンドを拒否し、すべてのアウトバウンドを許可する#
ufw default allow outgoing
ufw default deny incoming
ほとんどのシステムでは、少数のポートのみを開いて受信接続を受け入れ、残りのすべてのポートを閉じるだけで済みます。基本的なルールを設定するために、ufw default コマンドを使用してデフォルトの応答アクションを設定できます。ufw default では、reject パラメータも使用できます。
注意:明示的な許可ルールが設定されていない限り、デフォルトの deny または reject ルールを設定すると、サーバーがロックされます。SSH および他の重要なサービスの許可ルールを設定する前に、デフォルトの deny または reject ルールを適用することを確認してください。
高度なルールコマンド:#
ポートベースの許可またはブロックに加えて、UFW では IP アドレス、サブネット、および IP アドレス / サブネット / ポートの組み合わせに基づいて許可 / ブロックできます。
特定の IP アドレスからの接続を許可する#
ufw allow from 123.45.67.89
特定のサブネットからの接続を許可する#
ufw allow from 123.45.67.89/24
特定の IP / ポートの組み合わせを許可する#
ufw allow from 123.45.67.89 to any port 22 proto tcp
proto tcp は削除するか、必要に応じて proto udp に変更できます。すべての例の allow は必要に応じて deny に変更できます。