Теория ufw в достаточной степени описана здесь
Порядок настройки ufw для SBS на базе Ubuntu Server.
Вначале рекомендуется задать политику для новых профилей приложений
ufw app default allow
Разрешим ssh
Используем соответствующий профиль приложения
Запуск ufw
Ufw может быть включен или выключен системным администратором сервера, для этого используется команад:
Просматривать состояние можно с помощью команды:
Политика по умолчанию - deny
Во первых , необходимо включить пересылку пакетов. Для этого убедитесь, что в файле /etc/default/ufw параметру
В файле /etc/ufw/sysctl.conf уберите комментарий из строчки:
Далее необходимо в начало файла (после начальных коментариев) /etc/ufw/before.rules добавить правила:
Учтите, что после изменений правил в фалах /etc/ufw, вы должны добавлять команду commit
После изменений перезапустим ufw:
Маскарадинг должен включиться. Вы также можете добавлять любые дополнительные FORWARD правила в /etc/ufw/before.rules. It is recommended that these additional rules be added to the ufw-before-forward chain.
Включаем nat на отдельный хост сети
В файле /etc/default/ufw параметру
В файл /etc/ufw/before.rules добавляем нужные правила, например
-A ufw-before-forward -s 10.137.131.209/32 -d ! 10.137.131.0/24 -i eth0 -j ACCEPT
-A ufw-before-forward -d 10.137.131.209/32 -o eth0 -j ACCEPT
Все, после этого форвардинг работает для хоста с IP 10.137.131.209
Остальное - по аналогии :) .
Создаем и разрешаем необходимые профили
Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp.
Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d
ufw allow 'profilename' , где profilename - имя необходимого профиля
ufw allow Apache
ufw allow 'Apache Secure'
ufw allow 'Apache Full'
ufw allow 'Bind9'
ufw allow 'CUPS'
ufw allow 'Dovecot POP3'
ufw allow 'Dovecot Secure POP3'
ufw allow 'Postfix'
ufw allow 'Postfix Submission'
ufw allow 'Samba'
Пожалуй, данной информации достаточно для базовой настройки ufw.
Порядок настройки ufw для SBS на базе Ubuntu Server.
Вначале рекомендуется задать политику для новых профилей приложений
ufw app default allow
Разрешим ssh
Используем соответствующий профиль приложения
# ufw allow OpenSSHЗапуск ufw
Ufw может быть включен или выключен системным администратором сервера, для этого используется команад:
# ufw enable
Просматривать состояние можно с помощью команды:
# ufw status [numbered]
Политика по умолчанию - deny
Включаем MasqueradingВо первых , необходимо включить пересылку пакетов. Для этого убедитесь, что в файле /etc/default/ufw параметру
DEFAULT_FORWARD_POLICY присвоено значение “ACCEPT”: В файле /etc/ufw/sysctl.conf уберите комментарий из строчки:
net.ipv4.ip_forward=1net.ipv6.conf.default.forwarding=1Далее необходимо в начало файла (после начальных коментариев) /etc/ufw/before.rules добавить правила:
#nat Table rules *nat :POSTROUTING ACCEPT [0:0] #Forwardtraffic from eth1 through eth0. -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE #don't delete the 'COMMIT' line or these nat table rules won't be processed COMMITУчтите, что после изменений правил в фалах /etc/ufw, вы должны добавлять команду commit
# don't delete the 'COMMIT' line or these rules won't be processedCOMMITПосле изменений перезапустим ufw:
sudo ufw disable && sudo ufw enableМаскарадинг должен включиться. Вы также можете добавлять любые дополнительные FORWARD правила в /etc/ufw/before.rules. It is recommended that these additional rules be added to the ufw-before-forward chain.
Включаем nat на отдельный хост сети
В файле /etc/default/ufw параметру
DEFAULT_FORWARD_POLICY пишем значение “DROP”В файл /etc/ufw/before.rules добавляем нужные правила, например
-A ufw-before-forward -s 10.137.131.209/32 -d ! 10.137.131.0/24 -i eth0 -j ACCEPT
-A ufw-before-forward -d 10.137.131.209/32 -o eth0 -j ACCEPT
Все, после этого форвардинг работает для хоста с IP 10.137.131.209
Остальное - по аналогии :) .
Создаем и разрешаем необходимые профили
Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp.
Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d
ufw allow 'profilename' , где profilename - имя необходимого профиля
ufw allow Apache
ufw allow 'Apache Secure'
ufw allow 'Apache Full'
ufw allow 'Bind9'
ufw allow 'CUPS'
ufw allow 'Dovecot POP3'
ufw allow 'Dovecot Secure POP3'
ufw allow 'Postfix'
ufw allow 'Postfix Submission'
ufw allow 'Samba'
Ограничиваем попытки авторизации по sshufw limit OpenSSH
Пожалуй, данной информации достаточно для базовой настройки ufw.
Комментариев нет:
Отправить комментарий