UFW разработан как простое в использовании решение брандмауэра. Он использует iptables, и лежащая в его основе технология довольно надежна. Несмотря на то, что это Uncomplicated FireWall, UFW, в нем все еще есть несколько неправильных терминов и соглашений об именовании, которые могут показаться не очень очевидными для начинающего пользователя.
Вероятно, самым очевидным примером этого является попытка перечислить все правила. UFW не имеет специальной команды для перечисления правил, но использует свою основную команду ufw status, чтобы дать вам обзор брандмауэра вместе со списком правил. Более того, вы не можете перечислить правила, когда брандмауэр неактивен. Статус показывает правила, которые выполняются в данный момент. Это еще больше усложняет задачу сначала отредактировать правила, а затем безопасно включить брандмауэр.
1 | ufw status |
1 2 3 4 5 6 7 8 | ufw status Status: active To Action From -- ------ ---- 9000 ALLOW Anywhere 9092 ALLOW Anywhere 22 ALLOW Anywhere ... |
Конечно, этот список не является исчерпывающим. Существуют также правила по умолчанию, которые применяются к пакетам, не подпадающим ни под одно из указанных правил в списке выше. Это поведение по умолчанию можно перечислить, добавив подкоманду verbose.
1 | ufw status verbose |
1 2 3 4 5 6 7 8 9 10 11 12 13 | ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), deny (routed) New profiles: skip To Action From -- ------ ---- 9000 ALLOW IN Anywhere 9092 ALLOW IN Anywhere 8180 ALLOW IN Anywhere 22 ALLOW IN Anywhere ... |
Вы можете видеть, что по умолчанию в этом случае запрещается любой входящий трафик (ingress), например, прослушивание http-трафика на порту 8080. С другой стороны, он разрешает исходящий трафик (egress), необходимый, например, для запроса репозиториев программного обеспечения и обновления пакетов, а также для установки новых пакетов.
Кроме того, сами перечисленные правила стали более четкими. Указывается, предназначено ли правило для входа (ALLOW IN или DENY IN) или выхода (ALLOW OUT или DENY OUT).
Редактирование правил UFW
Если вы хотите удалить правила, вы можете сделать это, обратившись к соответствующему номеру правила. Правила могут быть перечислены с указанием их номеров, как показано ниже
1 | ufw status numbered |
1 2 3 4 5 6 7 8 9 | ufw status numbered Status: active To Action From -- ------ ---- [ 1] 9000 ALLOW IN Anywhere [ 2] 9092 ALLOW IN Anywhere [ 3] 22 ALLOW IN Anywhere ... |
Затем вы можете удалить правила с помощью команды:
1 | ufw delete <NUM> |
Где <NUM> - это номер правила. Например:
1 | ufw delete 2 |
удалит второе правило, разрешающее входящие соединения порта 9092.