ufwは、iptablesよりも簡単にファイウォールを設定できるコマンドです。iptablesに比べて、できることは狭いですが、通常利用にはこれで十分かと思います。
ufwをインストールする
単純にインストールするときは以下のコマンドです。
$ apt install ufwufwの状態を確認する
$ ufw status
Status:inactive 停止中です
Status:active 動作中です。ポートにアクセス制限をする
$ ufw allow 21 (21番ポートへのアクセスを許可する)
$ ufw allow 22/tcp (tcp22番ポートへのアクセスを許可する)
$ ufw allow 53/udp (udp53番ポートへのアクセスを許可する)
ただし、デフォルトはdenyなので、明示的にdenyを記述する必要はありません上記の状態で「ufw status」をすると、以下のように状態がわかります
To Action From
-- ------ ----
21 ALLOW Anywhere
22/tcp ALLOW Anywhere
53/udp ALLOW Anywhere
21 (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
53/udp (v6) ALLOW Anywhere (v6)
※通常は、ufwを追加するとIPv6も同時に設定される。
これを面倒と感じるならば「/etc/default/ufw」の「IPV6=yes」を「no」に変更してもよい。ルールを削除する
上記の状態で、22/tcp(v6)を削除するには、上から5番目のルールなので
$ ufw delete 5 です。ルールを追加する
通常のルールの追加は
$ ufw allow 80 などと打ちますが
例えば、ルールの2番目に追加したい場合は
$ ufw insert 2 allow 80 とします連続したポートをルールに追加する
$ ufw allow 100:110/tcpipアドレスを指定してルールを追加する
ipアドレス192.168.0.100からのアクセスを許可する
$ ufw allow from 192.168.0.100
ipアドレス192.168.10.0/24からのアクセスを許可する
$ ufw allow from 192.168.10.0/24ipアドレスとポートの組み合わせ
ネットワーク192.168.10.0/24からの80番ポートへのアクセスは許可する
$ ufw allow from 192.168.10.0/24 to any port 80
ipアドレス192.168.10.100からの80~100番ポートへのtcpアクセスを許可する
$ ufw allow from 192.168.10.100 to any port 80:100 proto tcpポートを開放する。
$ ufw allow 1:100/tcp tcpポート1~100まで許可する
コメント