UFW

Datum: 27. 6. 2020
Štítky: CLI, síť, zabezpečení
Kategorie: Open-source

Program pro správu síťového filtru a firewallu.

Tento program je vhodný pro správu firewallu v operačním systému Linux a zaměřuje se na poskytnutí rozhraní jednoduchého na ovládání pro uživatele. UFW je nástavba programu Iptables a poskytuje komfortní ovládání firewallu.

Možnosti

  • –version Ukáže verzi programu a ukončí.
  • -h, –help Ukáže nápovědu a ukončí.
  • –dry-run Nic nezmění, jen ukáže změny.
  • enable Nahraje firewall a umožní firewall po zavedení.
  • disable Vypne firewall po zavedení.
  • reload Znovu nahraje firewall.
  • default allow|denny|reject směr Změní výchozí pravidla pro provoz ve směru:
    • incoming
    • outgoing
    • routed
  • logging on|off|úroveň Přepne zapisování událostí. Standartní úroveň pro zapisování je low. Systémy s podporou rsyslog mají uložený soubor se zápisy v adresáři /var/log/ufw.log. Vybírat můžeme z úrovní:
    • low
    • medium
    • high
    • full
  • reset Vypne a vyresetuje firewall a spravovaná pravidla programem ufw. Může být dána možnost –force k vynucení bez potvrzení.
  • status Ukáže stav firewallu a spravovaných pravidel programem ufw. Použitím status verbose získáme extra informace o stavu firewallu. Použitím status numbered získáme číslovaná pravidla. Ve výstupu stavu je ‚anywhere‘ stejné jako ‚any‘ anebo ‚0.0.0.0/0‘.
  • show hlášení Zobrazí informace o běžícím firewallu. Typy hlášení jsou:
    • raw
    • builtins
    • before-rules
    • user-rules
    • after-rules
    • logging-rules
    • listening
    • added přidaná pravidla
  • allow argumenty Přidá povolené pravidlo
  • deny argumenty Přidá popřené pravidlo.
  • reject argumenty Přidá odmítnuté pravidlo.
  • limit argumenty Přidá limitující pravidlo. Aktuálně jsou podporovány pouze IPv4.
  • delete pravidlo|číslo Vymaže odpovídající pravidlo.
  • insert číslo pravidlo Vloží odpovídající pravidlo jako pravidlo číslo číslo.

Skladba pravidel

Uživatel může specifikovat pravidla, která používají jednoduchou skladbu anebo úplnou skladbu. Jednoduchá skladba je specifikace portu a volitelně protokol, které jsou povolené nebo zakázané. Obě skladby obsahují komentář pro pravidlo.

Příklady jednoduchých skladeb pravidel:

  • http: ufw allow http
  • port 53: ufw allow 53
  • ssh: ufw allow ssh
  • ftp: ufw allow ftp
  • ftps: ufw allow ftps

Pro běžný provoz desktopu využijeme následující porty:

  • 80/tcp http – nezabezpečené prohlížení internetu
  • 443/tcp https – zabezpečené prohlížení internetu
  • 53 tento port potřebuji pro instalaci z repozitářů
  • 21 ftp – přenos souborů

Více jednotlivých portů naleznete na stránce:

Integrace aplikací

UFW podporuje integraci aplikací čtením z profilů umístěných v /etc/ufw/applications.d. Pro seznam jmen známých aplikací použijeme:

ufw app list

Informace o dané aplikaci získáme příkazem:

ufw app info jméno

Standartní politika aplikací je skip (přeskočit). Můžeme specifikovat jinou politiku jako povolit a popřít.

ufw app default deny

Jestliže se nějaký profil aplikace upravoval, může se hodit pžíkaz pro aktualizaci aplikace:

ufw app update jméno