UFW Ubuntu: Полный гид по настройке фаервола для надёжной защиты вашего сервера

Брандмауэр — это ваш первый и самый важный рубеж обороны в цифровом мире. В Ubuntu этот страж по умолчанию часто спит, но с помощью UFW (Uncomplicated Firewall) вы можете разбудить его и настроить за считанные минуты. Это не просто инструкция, а глубокое погружение в философию защиты вашей системы от нежелательных гостей.

Что такое UFW и почему он вам нужен?

UFW — это фронтенд для мощного, но сложного iptables, созданный специально для Ubuntu и других Debian-систем. Его цель — сделать управление сетевым экраном интуитивно понятным, не теряя при этом функциональности. Если ваш сервер или даже десктоп подключен к интернету, UFW перестаёт быть опцией и становится необходимостью. Он фильтрует входящий и исходящий трафик на основе правил, которые вы зададите.

Первые шаги: установка и базовая активация

В большинстве современных версий Ubuntu UFW уже предустановлен. Проверить это можно командой which ufw. Если пакета нет, установите его: sudo apt install ufw.

Настройка политик по умолчанию

Перед включением критически важно задать политики по умолчанию. Они определяют судьбу трафика, для которого нет явных правил.

1. Запретить все входящие подключения: sudo ufw default deny incoming. Это золотое правило: запрещаем всё, а потом разрешаем только нужное.
2. Разрешить все исходящие подключения: sudo ufw default allow outgoing. Это позволяет вашей системе свободно работать в сети (загружать обновления, посещать сайты).

Создание правил: искусство баланса

После установки политик начинается самое интересное — создание разрешающих правил. Основной синтаксис: sudo ufw allow/deny [порт/служба].

Разрешение основных служб

• SSH (порт 22): sudo ufw allow ssh или sudo ufw allow 22/tcp. Внимание! Если вы настраиваете удалённый сервер, сделайте это ДО включения UFW, иначе потеряете доступ.
• HTTP/HTTPS для веб-сервера: sudo ufw allow 80,443/tcp.
• Конкретный IP-адрес: sudo ufw allow from 192.168.1.100.
• Подсеть: sudo ufw allow from 192.168.1.0/24.

Продвинутые техники и тонкая настройка

Ограничение попыток подключения

Защита от брут-форса критически важна. Включите её: sudo ufw limit ssh. Это правило разрешает SSH, но автоматически блокирует IP-адреса, которые пытаются подключиться слишком часто.

Работа с приложениями

UFW может управлять правилами через профили приложений, которые находятся в /etc/ufw/applications.d/. Посмотреть доступные: sudo ufw app list. Разрешить, например, Nginx Full: sudo ufw allow 'Nginx Full'. Это удобнее, чем запоминать порты.

Логирование

Включите логи для отладки: sudo ufw logging on. Логи пишутся в /var/log/ufw.log. Уровень можно настроить (low, medium, high).

Финальный акт: включение и проверка

1. Проверьте все добавленные правила: sudo ufw show added.
2. Включите UFW: sudo ufw enable. Система попросит подтверждения.
3. Проверьте статус: sudo ufw status verbose. Вы увидите политики по умолчанию и все активные правила.

Чтобы отключить (не делайте этого без необходимости): sudo ufw disable. Сбросить все правила до заводских: sudo ufw reset.

FAQ: Часто задаваемые вопросы

Как разрешить диапазон портов?

Используйте двоеточие: sudo ufw allow 8000:8010/tcp разрешит порты с 8000 по 8010.

Я заблокировал себя. Что делать?

Если вы физически имеете доступ к машине, отключите UFW: sudo ufw disable. Если нет, вам поможет доступ через консоль от хостинг-провайдера (VNC, KVM).

Как настроить UFW для домашней сети?

Разрешите локальную сеть: sudo ufw allow from 192.168.1.0/24. Это даст доступ всем устройствам в вашей домашней сети.

Нужно ли настраивать UFW на десктопе?

Да, особенно если вы подключаетесь к публичным Wi-Fi сетям. Минимум — включите и задайте политику deny incoming.

Как посмотреть, какие правила блокируют трафик?

Анализируйте логи: sudo tail -f /var/log/ufw.log. Там будут указаны блокированные пакеты и правила, которые их заблокировали.