ufw

ufw (Uncomplicated FireWall)とは、Ubuntuのiptablesを簡単に設定するツールです。

読み方

ufw

ゆーえふだぶりゅー

Uncomplicated FireWall

あんこんぷりけいてっど ふぁいあーうぉーる

概要

ufwは、コマンドラインツールです。GUIフロントエンドとして gufwもあります。

インストール

デフォルトでインストールされているかもしれません。

Ubuntu/Debianにインストールする場合

apt-get コマンドでインストールする場合です。

sudo apt-get install ufw

GUIフロントエンドをインストールする場合

Ubuntu/Debianにインストールする場合

apt-get コマンドでインストールする場合です。

sudo apt-get install gufw

使い方

$ sudo ufw status
状態: 非アクティブ

ufwを有効にする

ufwを有効にするには、以下のコマンドを実行します。

user@u1:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
ファイアウォールはアクティブかつシステムの起動時に有効化されます。

ufwを無効にする

$ sudo ufw disable
ファイアウォールを無効にし、システム起動時にも無効にします

デフォルトで接続を拒否する

sudo ufw default DENY

アクセスを許可する

sshのアクセスを許可する例です。

$ sudo ufw allow 22

実行例です。

user@u1:~$ sudo ufw status
状態: アクティブ
user@u1:~$ sudo ufw allow 22
ルールを追加しました
ルールを追加しました (v6)
kaworu@u1:~$ sudo ufw status
状態: アクティブ
 
To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22                         ALLOW       Anywhere (v6)

$ sudo ufw allow 22/tcp

だとTCPとUDPの両方が許可されます。 TCPだけに限定するなら、プロトコルを指定します。

$ sudo ufw allow 22/tcp

/etc/services で定義されているサービス名でもルールが追加できます。

sudo ufw allow ssh

Webサービスを提供する場合は、80を許可します。

sudo ufw allow 80

ルールの削除

追加コマンドにdeleteを追加するだけで、ルールを削除できます。

$ sudo ufw delete allow 22/tcp

任意のホストからのアクセスを許可する

sudo ufw allow from 10.0.0.2 to any port 3306

接続頻度を制限する

執拗にアクセスしてくる接続を拒否するには、limitを使用します。

sudo ufw limit ssh

詳細については、iptables アクセス回数を制限するをご参照ください。

許可や拒否のログを取得する

どのアクセスが許可されたか、拒否されたかをロギングできます。 limit で接続を制限した場合、/var/log/ufw.log にログが出力されます。

sudo ufw logging on
sudo ufw logging off
sudo ufw logging medium

low

デフォルト以外のルールによるブロックをログに出力する

off

無効にする

medium

デフォルトの設定です。流量制御ありでallow/denyにマッチしたもの + 不正なパケット + 新しい接続をロギングします。

high

mediumの流量制御をしないロギングをします。

full

すべてロギングします。

アプリケーション単位の許可

Samba(SMB)を許可したい場合には、複数の必要なポート(Windowsで使うポート)を指定することもできますが、アプリケーションで指定できます。

sudo ufw allow Samba

/etc/ufw/application.d/ に定義をおきます。

$ ls /etc/ufw/applications.d/
cups  openssh-server

定義ファイルの例は以下の通りです。

$ cat /etc/ufw/applications.d/openssh-server
[OpenSSH]
title=Secure shell server, an rshd replacement
description=OpenSSH is a free implementation of the Secure Shell protocol.
ports=22/tcp

確認方法は、以下の通りです。

~$ sudo ufw app list
利用可能なアプリケーション:
  CUPS
  OpenSSH

関連項目

• iptables
• iptables のインストール
• iptables のテーブル
• iptables のサービスのコントロール
• iptables のコマンドラインオプション
• iptables のルールを確認する
• iptables の設定ファイル
• iptables の設定の変更
  • iptables-save
  • iptables-restore
  • iptables の設定をクリアする
  • iptables の設定を削除する
  • ufw: Ubuntu向けiptablesのフロントエンドツール
• iptables のターゲット
• iptables ログを出力する
• iptables アクセス回数を制限する
• iptables 接続状態
• iptables ステートフルパケットインスペクション
• iptables が動かない場合

• iptables ICMPのタイプ
• iptables icmp echo requestを許可する
• iptables DNSを許可する
• iptables HTTPとHTTPSを許可する
• iptables sshを許可する
• iptables の設定例
• ufw (Uncomplicated FireWall)、iptablesのフロントエンド
• ファイアーウォール
• ファイアーウォール
• Ubuntu

---

ツイート