「ufw」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「ufw (Uncomplicated FireWall)とは、Ubuntuiptablesを簡単に設定するツールです。 '''読み方''' ;ufw:ゆーえふだぶりゅー ;Unco...」)
(相違点なし)

2013年12月8日 (日) 20:15時点における版

ufw (Uncomplicated FireWall)とは、Ubuntuiptablesを簡単に設定するツールです。

読み方

ufw
ゆーえふだぶりゅー
Uncomplicated FireWall
あんこんぷりけいてっど ふぁいあーうぉーる

概要

ufwは、コマンドラインツールです。GUIフロントエンドとして gufwもあります。

インストール

デフォルトでインストールされているかもしれません。

Ubuntu/Debianにインストールする場合

apt-get コマンドでインストールする場合です。

sudo apt-get install ufw

GUIフロントエンドをインストールする場合

Ubuntu/Debianにインストールする場合

apt-get コマンドでインストールする場合です。

sudo apt-get install gufw

使い方

$ sudo ufw status
状態: 非アクティブ

ufwを有効にする

ufwを有効にするには、以下のコマンドを実行します。

user@u1:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?
$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
ファイアウォールはアクティブかつシステムの起動時に有効化されます。

ufwを無効にする

$ sudo ufw disable
ファイアウォールを無効にし、システム起動時にも無効にします

デフォルトで接続を拒否する

sudo ufw default DENY

アクセスを許可する

sshのアクセスを許可する例です。

$ sudo ufw allow 22

実行例です。

user@u1:~$ sudo ufw status
状態: アクティブ
user@u1:~$ sudo ufw allow 22
ルールを追加しました
ルールを追加しました (v6)
kaworu@u1:~$ sudo ufw status
状態: アクティブ
 
To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22                         ALLOW       Anywhere (v6)
$ sudo ufw allow 22/tcp

だとTCPUDPの両方が許可されます。 TCPだけに限定するなら、プロトコルを指定します。

$ sudo ufw allow 22/tcp

/etc/services で定義されているサービス名でもルールが追加できます。

sudo ufw allow ssh

Webサービスを提供する場合は、80を許可します。

sudo ufw allow 80

ルールの削除

追加コマンドにdeleteを追加するだけで、ルールを削除できます。

$ sudo ufw delete allow 22/tcp

任意のホストからのアクセスを許可する

sudo ufw allow from 10.0.0.2 to any port 3306

接続頻度を制限する

執拗にアクセスしてくる接続を拒否するには、limitを使用します。

sudo ufw limit ssh

詳細については、iptables アクセス回数を制限するをご参照ください。

許可や拒否のログを取得する

どのアクセスが許可されたか、拒否されたかをロギングできます。 limit で接続を制限した場合、/var/log/ufw.log にログが出力されます。

sudo ufw logging on
sudo ufw logging off
sudo ufw logging medium
low
デフォルト以外のルールによるブロックをログに出力する
off
無効にする
medium
デフォルトの設定です。流量制御ありでallow/denyにマッチしたもの + 不正なパケット + 新しい接続をロギングします。
high
mediumの流量制御をしないロギングをします。
full
すべてロギングします。

アプリケーション単位の許可

Samba(SMB)を許可したい場合には、複数の必要なポート(Windowsで使うポート)を指定することもできますが、アプリケーションで指定できます。

sudo ufw allow Samba

/etc/ufw/application.d/ に定義をおきます。

$ ls /etc/ufw/applications.d/
cups  openssh-server

定義ファイルの例は以下の通りです。

$ cat /etc/ufw/applications.d/openssh-server
[OpenSSH]
title=Secure shell server, an rshd replacement
description=OpenSSH is a free implementation of the Secure Shell protocol.
ports=22/tcp

確認方法は、以下の通りです。

~$ sudo ufw app list
利用可能なアプリケーション:
  CUPS
  OpenSSH

関連項目