「ufw」の版間の差分
提供: セキュリティ
(相違点なし)
|
2013年12月8日 (日) 20:15時点における版
ufw (Uncomplicated FireWall)とは、Ubuntuのiptablesを簡単に設定するツールです。
読み方
- ufw
- ゆーえふだぶりゅー
- Uncomplicated FireWall
- あんこんぷりけいてっど ふぁいあーうぉーる
目次
概要
ufwは、コマンドラインツールです。GUIフロントエンドとして gufwもあります。
インストール
デフォルトでインストールされているかもしれません。
Ubuntu/Debianにインストールする場合
apt-get コマンドでインストールする場合です。
sudo apt-get install ufw
GUIフロントエンドをインストールする場合
Ubuntu/Debianにインストールする場合
apt-get コマンドでインストールする場合です。
sudo apt-get install gufw
使い方
$ sudo ufw status 状態: 非アクティブ
ufwを有効にする
ufwを有効にするには、以下のコマンドを実行します。
user@u1:~$ sudo ufw enable Command may disrupt existing ssh connections. Proceed with operation (y|n)?
$ sudo ufw enable Command may disrupt existing ssh connections. Proceed with operation (y|n)? y ファイアウォールはアクティブかつシステムの起動時に有効化されます。
ufwを無効にする
$ sudo ufw disable ファイアウォールを無効にし、システム起動時にも無効にします
デフォルトで接続を拒否する
sudo ufw default DENY
アクセスを許可する
sshのアクセスを許可する例です。
$ sudo ufw allow 22
実行例です。
user@u1:~$ sudo ufw status 状態: アクティブ user@u1:~$ sudo ufw allow 22 ルールを追加しました ルールを追加しました (v6) kaworu@u1:~$ sudo ufw status 状態: アクティブ To Action From -- ------ ---- 22 ALLOW Anywhere 22 ALLOW Anywhere (v6)
$ sudo ufw allow 22/tcp
だとTCPとUDPの両方が許可されます。 TCPだけに限定するなら、プロトコルを指定します。
$ sudo ufw allow 22/tcp
/etc/services で定義されているサービス名でもルールが追加できます。
sudo ufw allow ssh
Webサービスを提供する場合は、80を許可します。
sudo ufw allow 80
ルールの削除
追加コマンドにdeleteを追加するだけで、ルールを削除できます。
$ sudo ufw delete allow 22/tcp
任意のホストからのアクセスを許可する
sudo ufw allow from 10.0.0.2 to any port 3306
接続頻度を制限する
執拗にアクセスしてくる接続を拒否するには、limitを使用します。
sudo ufw limit ssh
詳細については、iptables アクセス回数を制限するをご参照ください。
許可や拒否のログを取得する
どのアクセスが許可されたか、拒否されたかをロギングできます。 limit で接続を制限した場合、/var/log/ufw.log にログが出力されます。
sudo ufw logging on sudo ufw logging off sudo ufw logging medium
- low
- デフォルト以外のルールによるブロックをログに出力する
- off
- 無効にする
- medium
- デフォルトの設定です。流量制御ありでallow/denyにマッチしたもの + 不正なパケット + 新しい接続をロギングします。
- high
- mediumの流量制御をしないロギングをします。
- full
- すべてロギングします。
アプリケーション単位の許可
Samba(SMB)を許可したい場合には、複数の必要なポート(Windowsで使うポート)を指定することもできますが、アプリケーションで指定できます。
sudo ufw allow Samba
/etc/ufw/application.d/ に定義をおきます。
$ ls /etc/ufw/applications.d/ cups openssh-server
定義ファイルの例は以下の通りです。
$ cat /etc/ufw/applications.d/openssh-server [OpenSSH] title=Secure shell server, an rshd replacement description=OpenSSH is a free implementation of the Secure Shell protocol. ports=22/tcp
確認方法は、以下の通りです。
~$ sudo ufw app list 利用可能なアプリケーション: CUPS OpenSSH