UFW設定

Last-modified: Sat, 02 Jul 2016 18:01:13 JST (410d)
  • UbuntuにはFirewallとして、iptablesのラッパ(?)である、UFWが入っています。
    コマンドはTAB補完が効くようですので、困ったらTABを押すとオプションの候補が出てきます。
    コマンドはここここ辺りが参考になります。

IPV6を無効化する

  • デフォルトでは、UFWはIPV4、V6両方のルールを定義します。
    IPV6のルールが不要の場合、UFWの設定ファイルを修正することで無効化できます。
    vi /etc/default/ufw
    
    IPV6=no

UFWを有効化する(ファイヤーウォールを有効化する)

sudo ufw enable

UFWを無効化する(ファイヤーウォールを無効化する)

sudo ufw disable

UFWの設定を表示する

sudo ufw status verbose

UFWの設定をリスト表示する

sudo ufw status number

指定した番号のルールを削除する

sudo ufw delete 1(消したいルール番号)

指定した番号にルールを追加する(例としてPort80を許可するルールを追加)

sudo ufw insert 1 allow 80

デフォルトの通信ルールを拒否設定にする

sudo ufw default DENY

ログをとる

ログは/var/log/ufw.logに吐かれる。

sudo ufw logging on

なお、引数onをfull、high、low、mediumにするとログに記録される内容が変わるようです。
(デフォルトではlow)

ルール設定例

allowをdenyにすると拒否ルールになるし、rejectにするとリジェクトルールになる。
適用は上から順番に判定され、どれにも合致しない場合デフォルトルールが適用される。

ポート指定、プロトコル指定で許可する

sudo ufw allow proto tcp port 80

なお、以下のような指定でもOK

sudo ufw allow 80/tpc

プロトコル指定を省略すると、TCP/UDP両方許可される。

sudo ufw allow 53

接続元IPを限定して許可

sudo ufw allow proto tcp from 10.0.0.0/24 to any port 22

ポート範囲指定で許可

sudo ufw allow 6000:60100/tcp

指定したサブネットからの通信は許可

sudo ufw allow from 10.10.0.0/24

適用するNICを指定する。

sudo ufw allow in on eth0 to any port 80 proto tcp

DoSアタックフィルタを利用する

sudo ufw limit ssh

通信方向を指定して許可。

sudo ufw allow out 80/tcp

Counter: 379, today: 2, yesterday: 0

このページの参照回数は、379です。