четверг, 5 февраля 2009 г.

Cамый простой интерфейс к netfilter

В данной статье я расскажу о самом простом интерфейсе для netfilter/iptables - ufw. Он стоит по умолчанию в последних версиях ubuntu. По умолчанию он выключен, для включения достаточно набрать:
sudo ufw enable

При этом все входящие соединения будут заблокированы, исходящие заблокированы не будут. При это файревол будет включен при загрузке машины.

Чтоб разрешить входящие соединения например для почтового сервера достаточно сказать:
# ufw allow 25/tcp
или
# ufw allow smtp

Вот как выглядят другие правила:
запретить подсети 10.0.0.0/8 соединяться с 192.168.0.1 на 25 порт по протоколу tcp
# ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 25
разрешить любые соединения с сети 192.168.0.0/24
# ufw allow from 192.168.0.0/24
запретить 1.2.3.4 соединятся с данной машиной по udp с портом 514
# ufw deny proto udp from 1.2.3.4 to any port 514
разрешить соединение с 1.2.3.5:5469 к 1.2.3.4:5469 по udp
# ufw allow proto udp from 1.2.3.5 port 5469 to 1.2.3.4 port 5469

правила применяются сразу и сохраняются при перезагрузке (/var/lib/ufw/user.rules), просмотреть текущую конфигурацию можно так:
# ufw status

Для тонкой настройки можно отредактировать файлы лежащие в /etc/ufw/ например разрешить форвардинг, сделать маскарадинг или проброс порта.
/etc/ufw/before.rules - правила применяемые до применения /var/lib/ufw/user.rules
/etc/ufw/after.rules - правила применяемые после применения /var/lib/ufw/user.rules
/etc/ufw/sysctl.conf - настройки опций ядра

графическая обертка - http://gufw.tuxfamily.org/

Взято с http://www.sanych.nnov.ru/content/camyj_prostoj_interfejs_k_netfilter

Комментариев нет: