UFW
Dotychczas najlepszym rozwiązaniem do filtrowania przepływu informacji jest metoda zwana iptables firewall. Jednak konfiguracja tego mechanizmu jest dosyć skomplikowana dlatego postanowiono napisać dodatkowe oprogramowanie upraszczające konfigurację tego firewall'a.
Jest to pierwsza czynność którą musisz wykonać zaraz po instalacji servera - zanim podłączysz kabel sieciowy
Test firewall
$ sudo ufw status verbose Status: inactive
Z tego co widać firewall niest wyłączony.
Włączanie i wyłączanie
$ sudo ufw enable Firewall is active and enabled on system startup $ sudo ufw disable Firewall stopped and disabled on system startup
Wszystkie zmiany będziemy dokonywać na wyłączonym firewall'u.
Czyszczenie ustawień
$ sudo ufw reset Resseting all rules to installed defaults. Proceed with operation (y|n)?
Po wydaniu polecenia system się spyta, czy chcesz skasować wszystkie ustawienia firewall? Jeśli odpowiesz y to pliki konfiguracyjne zostaną zachowane ze zmienioną nazwą - do nazwy dodany jest termin restartowania.
Na upartego można przywrócić ustawienia zmieniając nazwę. Raz zdarzyło mi się przez przypadek wyzerować ustawienia i ta opcja uratowała mi gitarę - mogłem przywrócić ustawienia.
Ustawienia defaultowe.
$ sudo ufw default allow outgoing Default outgoing policy changed to 'allow' (be sure to update your rules accordingly) $ sudo ufw default deny incoming Default incoming policy changed to 'deny' (be sure to update your rules accordingly)
Czyli my mamy możliwość wyjścia na swiat, ale nikt nie wejdzie do naszego serwera.
Wiele poradników poleca też aby włączyć obsługę IPv6. Musisz to zrobić edytując odpowiedni plik i w nim zmienić opcje
$ sudo nano /etc/default/ufw
Musi tam być opcja: IPV6=yes
Ustawienia dokładne
sudo ufw allow proto tcp from 192.168.0.1/24 to 192.168.0.100 port 6666 comment 'allow ssh new port: 6666'
reguła będzie przepuszczać komunikację ze wszystkich komputerów z sieci wewnętrznej na port 6666 serwera o adresie 192.168.0.100. Port 6666 to jest zmieniony port ssh