UFW в Ubuntu: полный путеводитель по настройке безопасного брандмауэра

Разберем, что из себя представляет UFW, как его установить и сделать первые шаги в настройке.

Что такое UFW

Uncomplicated Firewall (UFW) — это программа, которая упрощает управление брандмауэром. UFW предоставляет удобный интерфейс для настройки сложного в работе стандартного брандмауэра iptables.

Установка и первые шаги

UFW часто предустановлен в Ubuntu по умолчанию. Если его нет, установите командой:

Перед началом работы проверьте статус брандмауэра:

Скорее всего, брандмауэр выключен, и в выводе появится:

Статус inactive — это нормально, так и должно быть. Далее настройте базовые правила безопасности, то есть дайте доступ только нужным подключениям: сначала запретите все входящие, а затем разрешите только нужные вам, например, SSH:

Эти команды гарантируют, что по умолчанию система блокирует всю входящую связь и разрешает исходящую, оставляя открытым только порт для удаленного управления.

Рассмотрим базовые команды: как включить и выключить брандмауэр и проверить, работает ли он.

Включение и отключение UFW

Включайте брандмауэр только после того, как настроили правила. Чтобы включить, выполните:

Эта команда активирует брандмауэр и применяет все заданные правила. Если работаете на удаленном сервере и не разрешили SSH до того, как включить брандмауэр, вы потеряете соединение с сервером.

Если захотите временно отключить защиту, выполните:

Будьте внимательны: команда отключает брандмауэр и выключает фильтрацию трафика, система остается незащищенной. Без брандмауэра все службы (веб-сервер, SSH, базы данных) становятся доступны извне.

Старайтесь вообще не отключать UFW. Если это неизбежно — минимизируйте время отключения, используйте VPN или выделенный канал, изолируйте среду и включайте брандмауэр, как только сможете.

Проверка статуса брандмауэра

Убедиться, что брандмауэр работает правильно, помогают команды проверки. Есть два варианта, как проверить статус, и эти варианты отличаются тем, насколько детальным будет вывод:

Правила говорят системе, какой трафик пропустить, а какой заблокировать. В этом разделе расскажем, как создавать точные и эффективные правила.

Политика по умолчанию

Политика по умолчанию действует на весь трафик, для которого нет специального правила. Рекомендуемая и безопасная конфигурация:

Это поведение брандмауэра по умолчанию, и в явном виде менять его не нужно. Такая настройка реализует принцип «запрещено все, что не разрешено явно» для входящего трафика, обеспечивая базовую безопасность.

Добавление и удаление правил

UFW позволяет работать с правилами через сервисы, порты и IP-адреса:

UFW обрабатывает правила в том порядке, в котором вы их добавляли. Первое правило, которое подходит под подключение, применяется сразу, а остальные — игнорируются. Представьте, что вы добавили правила так — в таком же порядке, от одного до трех, они будут пронумерованы:

На примере этих трех правил рассмотрим, что будет, если придет подключение с IP 192.168.1.100 на порт 80 и какое правило применит UFW. Брандмауэр проверит:

• Правило [1] (SSH, порт 22) — не подходит.

• Правило [2] (HTTP, порт 80) — подходит. Применится ALLOW, дальше проверка не пойдет.

• Правило [3] для веб-трафика не сработает, потому что правило [2] уже разрешило подключение.

Как удалить правило:

При удалении правила нужно повторить его точный синтаксис. UFW не понимает, что вы хотите удалить «то самое правило с портом 8080», ему нужно точное совпадение. Если правило было добавлено с дополнительными параметрами, их тоже нужно повторить.

Чтобы упростить себе жизнь, используйте команду sudo ufw status numbered — она покажет все правила с их номерами. И далее вы сможете удалить правило только по номеру, а не по формулировке:

Разрешение и ограничение подключений

Для типовых сервисов используйте понятные имена:

Для ограничения доступа применяйте правила с IP-адресами:

Мы переходим к расширенным возможностям UFW. Эти функции помогут  лучше мониторить и защищать систему.

Логирование действий брандмауэра

Логи UFW показывают, какие подключения блокируются или разрешаются. Логи помогают анализировать атаки, точнее настраивать правила, находить проблемы в настройках и выявлять попытки взлома.

Включите логирование командой:

Уровень логирования можно настроить: low, medium, high или full. Для большинства задач хватает medium:

Логи находятся в /var/log/ufw.log. Типичная запись выглядит так:

Ключевые элементы:

• [UFW BLOCK] — действие, в данном случае блокировка.

• SRC=123.45.67.89 — IP-адрес источника.

• DPT=22 — целевой порт (SSH)

Установка ограничений на подключения

Правило limit автоматически блокирует IP-адреса, которые пытаются установить много соединений за короткое время. Это защищает от подбора паролей.

Для SSH это особенно важно:

Правило limit разрешает до шести подключений за 30 секунд с одного IP. При превышении лимита следующие попытки блокируются на 30 секунд. Правило не мешает обычным пользователям, но эффективно против автоматических атак.

Можно применять limit к любым службам:

Теперь применим знания на практике — рассмотрим готовые схемы настройки для разных серверов и научимся тонко управлять доступом.

Типичные сценарии настройки

Вот готовые конфигурации для распространенных случаев. Эти сценарии основаны на общепринятых практиках настройки серверов.

Веб-сервер (Nginx или Apache):

Сервер баз данных:

Игровой сервер (например, Minecraft):

Управление доступом к сервисам

По IP-адресам и подсетям:

По сетевым интерфейсам:

Комбинированные правила:

Не забывайте про порядок правил и помните, что UFW обрабатывает их сверху вниз. Для сложных сценариев создавайте правила в определенном порядке и идите от частных к общим, чтобы гарантировать правильное применение логики доступа.

Разберем частые проблемы и методы их решения, а также лучшие практики безопасности.

Устранение неполадок UFW

Проблема: сервис недоступен после настройки правил:

Проблема: потерян доступ к серверу по SSH. Если вы случайно заблокировали SSH, восстановите доступ через консоль управления VPS или KVM:

Проблема: правила применяются не в том порядке. Переставьте правила, чтобы брандмауэр обращался к нужным:

Советы по улучшению безопасности

Перечислим лучшие практики, чтобы защитить службы от несанкционированного доступа и использовать больше возможностей UFW.

Руководствуйтесь принципом минимальных привилегий. Открывайте доступ только для конкретных IP-адресов или подсетей, а не для всех. Это снижает поверхность атаки: злоумышленник не сможет подключиться к вашему сервису, если его IP не в белом списке.

Проводите регулярный аудит правил. Со временем правила брандмауэра устаревают. Проверяйте их раз в месяц, чтобы удалить ненужные разрешения для завершенных проектов или изменившейся инфраструктуры. Это предотвратит накопление «сетевого мусора».

Защититесь от частых атак. Правило limit автоматически блокирует IP-адреса, которые делают много подключений за короткое время. Это защищает от подбора паролей и DDoS-атак без блокировки легитимных пользователей.

Проводите резервное копирование конфигурации. При сбое системы или человеческой ошибке бэкапы позволяют быстро восстановить рабочую конфигурацию брандмауэра и не воссоздавать десятки правил вручную.

Чтобы создать бэкап:

Чтобы восстановить настройки:

Дополнительные меры безопасности:

• Регулярно обновляйте систему, чтобы сократить число уязвимостей:

• Используйте нестандартные порты для критических служб. Если кто-то соберется атаковать сервисы, сделать это будет сложнее.

• Настройте fail2ban для дополнительной защиты от перебора паролей. А еще fail2ban анализирует логи и автоматически блокирует IP при подозрительном поведении.

• Отключайте неиспользуемые сетевые службы, чтобы уменьшить поверхность для потенциальной атаки.

UFW превращает сложную настройку сетевой безопасности в простой и доступный процесс. Главное — начать с базовых правил «запретить все, разрешить нужное», регулярно проверять логи и обновлять правила под меняющиеся задачи. Такой подход создает надежный фундамент для защиты вашей системы от нежелательных подключений.