Ubuntuの組み込みファイアウォールを構成する方法

Ubuntuには、「複雑でないファイアウォール」の略であるufwと呼ばれる独自のファイアウォールが含まれています。Ufwは、標準のLinuxiptablesコマンド用の使いやすいフロントエンドです。グラフィカルインターフェイスからufwを制御することもできます。

Ubuntuのファイアウォールは、iptablesを学習せずに基本的なファイアウォールタスクを実行する簡単な方法として設計されています。標準のiptablesコマンドのすべての機能を提供するわけではありませんが、それほど複雑ではありません。

ターミナルの使用法

ファイアウォールはデフォルトで無効になっています。ファイアウォールを有効にするには、ターミナルから次のコマンドを実行します。

sudo ufw enable

必ずしも最初にファイアウォールを有効にする必要はありません。ファイアウォールがオフラインのときにルールを追加し、構成が完了したら有効にすることができます。

ルールの操作

ポート22でSSHトラフィックを許可するとします。これを行うには、いくつかのコマンドのいずれかを実行できます。

sudo ufw allow 22（TCPトラフィックとUDPトラフィックの両方を許可します。UDPが不要な場合は理想的ではありません。）

sudo ufw allow 22 / tcp（このポートでのTCPトラフィックのみを許可します。）

sudo ufw allow ssh（SSHが必要とするポートについてシステム上の/ etc / servicesファイルをチェックして許可します。多くの一般的なサービスがこのファイルにリストされています。）

Ufwは、着信トラフィックのルールを設定することを前提としていますが、方向を指定することもできます。たとえば、発信SSHトラフィックをブロックするには、次のコマンドを実行します。

sudoufwはsshを拒否します

次のコマンドを使用して、作成したルールを表示できます。

sudo ufw status

ルールを削除するには、ルールの前にdeleteという単語を追加します。たとえば、発信sshトラフィックの拒否を停止するには、次のコマンドを実行します。

sudo ufwdeleteリジェクトアウトssh

Ufwの構文では、かなり複雑なルールが可能です。たとえば、このルールは、IP12.34.56.78からローカルシステムのポート22へのTCPトラフィックを拒否します。

sudo ufw deny proto tcp from 12.34.56.78 to any port 22

ファイアウォールをデフォルトの状態にリセットするには、次のコマンドを実行します。

sudo ufw reset

アプリケーションプロファイル

開いているポートを必要とする一部のアプリケーションには、これをさらに簡単にするためにufwプロファイルが付属しています。ローカルシステムで使用可能なアプリケーションプロファイルを確認するには、次のコマンドを実行します。

sudoufwアプリリスト

次のコマンドを使用して、プロファイルとそれに含まれるルールに関する情報を表示します。

sudoufwアプリ情報名前

allowコマンドを使用してアプリケーションプロファイルを許可します。

sudo ufw allow Name

詳しくは

ロギングはデフォルトで無効になっていますが、ロギングを有効にしてファイアウォールメッセージをシステムログに出力することもできます。

sudoufwログオン

詳細については、man ufwコマンドを実行して、ufwのマニュアルページを参照してください。

GUFWグラフィカルインターフェース

GUFWはufwのグラフィカルインターフェースです。Ubuntuにはグラフィカルインターフェイスが付属していませんが、gufwはUbuntuのソフトウェアリポジトリに含まれています。次のコマンドでインストールできます。

sudo apt-get install gufw

GUFWは、ファイアウォール構成という名前のアプリケーションとしてダッシュに表示されます。ufw自体と同様に、GUFWはシンプルで使いやすいインターフェースを提供します。ファイアウォールを簡単に有効または無効にしたり、インバウンドまたはアウトバウンドトラフィックのデフォルトポリシーを制御したり、ルールを追加したりできます。

ルールエディタを使用して、単純なルールまたはより複雑なルールを追加できます。

ufwですべてを行うことはできないことを忘れないでください。より複雑なファイアウォールタスクの場合は、iptablesで手を汚す必要があります。