ufw ، یک چیزی شبیه فایروال iptables است که روند پیکربندی فایروال را بسیار ساده کرده. در حالی که iptables ابزاری محکم و انعطاف پذیر است ، یادگیری نحوه استفاده از آن برای پیکربندی صحیح فایروال ، برای مبتدیان دشوار است. اگر به دنبال شروع به کار در تأمین امنیت شبکه خود هستید و مطمئن نیستید از کدام ابزاری استفاده کنید ، ufw ممکن است انتخاب مناسبی برای شما باشد.

این آموزش با IPv4 نوشته شده است ، اما میتوانید برای وژن ۶ هم آنرا فعال کنید ، و بدون مشکل در IPv6 نیز کار خواهد کرد.اگر IPv6 برای شما فعال هست ، اطمینان حاصل کنید که ufw برای پشتیبانی از IPv6 تنظیم شده است تا بتواند علاوه بر IPv4 ، قوانین فایروال را برای IPv6 نیز مدیریت کند. برای این کار ، پیکربندی ufw را با vim یا هر ویرایشگر مورد علاقه خود باز کنید.

sudo vim /etc/default/ufw

خطی که عبارت IPV6 را پیدا کرده و جلوی آن کلمه yes را بنویسید. همانند شکل زیر

...
IPV6=yes
...

ذخیره کنید و فایل را ببندید. حال ، هنگامی که UFW فعال است ، تمام قوانین IPv4 و IPv6 را اعمال میکند.

اگر تازه با دیوار آتش شروع کرده اید ، اولین قوانینی که باید تعریف کنید خط مشی های پیش فرض شما هستند. این قوانین نحوه کنترل ترافیک را که صریحاً با سایر قوانین مطابقت ندارد ، کنترل می کنند. به طور پیش فرض ، ufw قرار است تمام اتصالات ورودی را انکار کند و به همه اتصالات خروجی اجازه می دهد. این بدان معناست هیچ کسی از خارج به سیستم شما دسترسی ندارد ، در حالی که هر برنامه ای در سیستم شما قادر به دستیابی به دنیای خارج خواهد بود.

بیایید قوانین ufw شما را به حالت پیش فرض برگردانیم. برای تنظیم پیش فرض های استفاده شده توسط ufw ، از این دستورات استفاده کنید:

sudo ufw default deny incoming
sudo ufw default allow outgoing

اگر اکنون دیوار آتش ufw را فعال کنیم ، تمام اتصالات ورودی را انکار می کند. این بدان معناست که اگر بخواهیم این دیوارآتش را بر روی سرور فعال بکنیم ، باید قوانینی را ایجاد کنیم که صریحاً اجازه ورود به سیستمهای ورودی قانونی را بدهد - برای مثال اتصالات SSH یا HTTP. اگر از سرور ابری استفاده می کنید ، احتمالاً می خواهید به اتصالات SSH ورودی اجازه دهید تا بتوانید به سرور خود متصل شوید و مدیریت کنید.

برای پیکربندی سرور خود برای اتصال به اتصالات SSH ، می توانید از این دستور استفاده کنید:

sudo ufw allow ssh

این قوانین فایروال را ایجاد می کند که به کلیه اتصالات در پورت 22 اجازه می دهد ، یعنی پورتی که Daemon SSH بطور پیش فرض در آن گوش می دهد. ufw می داند SSH و تعدادی دیگر از اسامی سرویس به چه معناست زیرا در پرونده / etc / service ها به عنوان خدمات ذکر شده اند.

با این وجود ، ما در واقع می توانیم با مشخص کردن پورت به جای نام سرویس ، قانون معادل آن را بنویسیم. به عنوان مثال ، این دستور مانند دستور فوق کار می کند:

sudo ufw allow 22

اگر Daemon SSH خود را برای استفاده از درگاه دیگری پیکربندی کرده اید ، باید پورت مناسب را مشخص کنید. به عنوان مثال ، اگر سرور SSH شما درگاه 2222 را گوش می دهد ، می توانید از این دستور برای اتصال به آن درگاه استفاده کنید:

sudo ufw allow 2222

اکنون که فایروال شما پیکربندی شده است تا بتواند اتصالات SSH ورودی داشته باشد.

برای فعال کردن ufw ، از این دستور استفاده کنید:

sudo ufw enable

شما یک اخطار دریافت خواهید کرد که می گوید این فرمان ممکن است اتصالات SSH موجود را مختل کند. ما قبلاً یک قانون فایروال تنظیم کرده ایم که اتصالات SSH را امکان پذیر می سازد ، بنابراین باید ادامه یابد.پس با Y پاسخ دهید.

فایروال اکنون فعال است. برای دیدن دستورالعمل های تنظیم شده ، می توانید دستور زیر را استفاده کنید:

sudo ufw status verbose

در این مرحله ، شما باید به سایر اتصالات مورد نیاز خود برای پاسخگویی اجازه دهید. ارتباطاتی که شما باید به آنها اجازه دهید بستگی به نیازهای خاص شما دارد. خوشبختانه ، شما می دانید چگونه می توانید قوانینی را بنویسید که اتصالات را بر اساس نام یا پورت سرویس امکان پذیر می سازد. ما قبلاً این کار را برای SSH در پورت 22 انجام دادیم. بقیه این آموزش نحوه استفاده از ufw را با جزئیات بیشتر ، مانند اجازه یا انکار انواع مختلف اتصالات ، ارائه می دهد.

• HTTP در پورت 80 ، همان چیزی است که در سرورهای وب رمز نشده استفاده می شود

sudo ufw allow http
یا
sudo ufw allow 80