転載・引用について

ユーザ用ツール

サイト用ツール


os:linux:ubuntu:ufw

目次

ufw

ufwはいまいちよくわかっていないが、Ubuntuの標準Firewall設定I/Fらしいので。

ufw

  • ufw status : 状態を表示する
    • ufw status verbose : 詳細な状態を表示する。特に各種default policyを表示してくれる
  • ufw enable : ufwを有効にする
  • ufw disable : ufwを無効にする

初期設定

  • ufw disable状態で最初の設定をする
ufw default deny
ufw allow in ssh
ufw allow from any to any port 22
...

今回はhttp serverの設定例を考えてみる

ufw default deny
ufw allow ssh
ufw allow 80/tcp
ufw allow 443/tcp
ufw logging on
ufw reload

ここまで設定して ufw status numberedを実行すると

# ufw status
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW       Anywhere                  
[ 2] 80/tcp                     ALLOW       Anywhere                  
[ 3] 443/tcp                    ALLOW       Anywhere                  
[ 4] 22/tcp (v6)                ALLOW       Anywhere (v6)             
[ 5] 80/tcp (v6)                ALLOW       Anywhere (v6)             
[ 6] 443/tcp (v6)               ALLOW       Anywhere (v6)             

となる。ここで表示される行頭の数字がポリシー番号で、ルールを削除する時に必要になる。 例えば、443/tcp allow Anywhereのルールを削除するには、ufw delete 3とすれば良い。

ufw status verboseを実行すると

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
46464/tcp                  ALLOW IN    Anywhere                  
80/tcp                     ALLOW IN    Anywhere                  
443/tcp                    ALLOW IN    Anywhere                  
46464/tcp (v6)             ALLOW IN    Anywhere (v6)             
80/tcp (v6)                ALLOW IN    Anywhere (v6)             
443/tcp (v6)               ALLOW IN    Anywhere (v6)             

となる。

なお、dry-runもできる

ufw --dry-run delete allow 22
ufw --dry-run status
ufw --dry-run disable

設定ファイルは、

  • IPv4のルール : /etc/ufw/user6.rules
  • IPv6のルール : /etc/ufw/user6.rules

である

なお、しばしばアドレス指定でpass/dropを書きたいことがあるが、そういう時は ufw allow from (Address/masklen|any) to (Address/masklen|any) port (portnum)[/proto] のように書ける。

ufw allow from xxx.xxx.xxx.xxx to any port 80と指定すると、source addrがxxx.xxx.xxx.xxx で待ち受けがTCP/UDP 80番への通信を許可する。

このウェブサイトはクッキーを使用しています。 Webサイトを使用することで、あなたはあなたのコンピュータにクッキーを保存することに同意します。 また、あなたはあなたが私たちのプライバシーポリシーを読んで理解したことを認めます。 同意しない場合はウェブサイトを離れてください。クッキーに関する詳細情報
os/linux/ubuntu/ufw.txt · 最終更新: 2017/05/25 20:23 by 127.0.0.1

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki