Debian ファイアウォール、gufw/ufw

ufw 基本のコマンド操作

「簡単 初めてマニュアル その2」でインストールしたファイアウォール、gufw。

gufwは、GUIで、iptablesのルールを簡単に設定するツール。

iptablesは、ファイアウォールとしての設定に専門的な知識が必要になるので、
いきなり使いこなすには、ちょっと不安が・・。

gufwのCUI版であるufwを使って、コマンド操作してみる。



・状態を表示する
  $ sudo ufw status

・状態を表示する(詳細に)
  $ sudo ufw status verbose

・番号をつけて状態を表示する
  $ sudo ufw status numbered

・ufwを有効にする
  $ sudo ufw enable
  --------status: active

・無効にする
  $ sudo ufw disable
  --------status: inactive

・外部から入ってくる通信をすべて遮断する--デフォルトのポリシー
  $ sudo ufw default deny
  --------全体ルールとして、取り急ぎ全て遮断しておく
  --------必要なものは、順次許可してゆく
  --------明示的に、ufw default deny incoming でも

・外に出る通信をすべて遮断する
  $ sudo ufw default deny outgoing

・外に出る通信をすべて許可する
  $ sudo ufw default allow outgoing

・ポート22(ssh)を許可する
  $ sudo ufw allow 22

・ポート22(ssh)を拒否する
  $ sudo ufw deny 22

・22(ssh)ポートtcpを許可する
  $ sudo ufw allow 22/tcp

・sshを許可する
  $ sudo ufw allow ssh

・番号を指定してルールを削除する
  $ sudo ufw status numbered
  $ sudo ufw delete 3

・3番めのルールにssh拒否設定を挿入する
  $ sudo ufw insert 3 deny ssh

・複数NICのうちeth0から外に出るポート25:SMTPを禁止する
  $ sudo ufw deny out on eth0 to any port 25 proto tcp

・ip_address:192.168.1.20のPCの
  eth1から入ってくる通信に対し
  ファイル共有:445/tcpポートを許可する
  $ sudo ufw allow in on eth1 from 192.168.1.20 to any port 445 proto tcp

・ルールを初期化する
  $ sudo ufw reset

・ufwの起動状態を確認する
  $ sudo systemctl status ufw

・ipv6を停止する
  $ sudo vi /etc/default/ufw
  --------書き換え:ipv6=yes --> ipv6=no

  $ sudo vi /etc/sysctl.conf
  --------最終行に追記:net.ipv6.conf.all.disable_ipv6 = 1
  --------NICを指定なら:net.ipv6.conf.eth0.disable_ipv6 = 1
  --------設定を反映:$ sudo sysctl -p


*ルールの順番に注意!

  ufwのルールは、設定した上からの順番で読み込まれる。
  なので、順番を間違うと、ルールが意図したように適用されない。

  (例)設定ルール  ip_address:192.168.1.20のPCに対しSSHを許可し、他は拒否する。
    誤
    1 $ sudo ufw deny 22
    2 $ sudo ufw allow from 192.168.1.20 to any port 22
    正
    1 $ sudo ufw allow from 192.168.1.20 to any port 22
    2 $ sudo ufw deny 22

serviceとportを調べる

・サービスとポート番号の関連付けを設定しているファイル
   /etc/service
  --------port445を調べる
  --------$ cat /etc/service | grep 445
  --------microsoft-ds 445/tcp 445/udp # Microsoft CIFS

・指定できるアプリケーションの一覧をみる
  $ sudo ufw app list
  --------このリストの登録ディレクトリは
  --------$ ls -l /etc/ufw/applications.d/
  --------アプリケーションの詳細を表示
  --------$ sudo ufw app info CIFS


Copyright(C) green-pen miyagi