В незалежності від операційної системи файрвол — необхідний інструмент для захисту персонального комп’ютера від несанкціонованих повідомлень з хостами або мережами. У вступі лише позначимо проблему, а «чому, навіщо і як» — далі. У цій статті ми розберемося, як налаштувати файрвол на Ubuntu.
Налаштування файрвола на Ubuntu
Щоб все було нам зрозуміло, розберемося спочатку, що таке Ubuntu і, власне, сам файрвол, яким він буває.
Що таке файрвол і Ubuntu
Перше, що необхідно знати, якщо ви новачок — Ubuntu це операційна система з сімейства Linux, тобто перед нами Linux з усіма наслідками, що випливають. Інтерфейс, файлова система і все інше — рідне, з деякими змінами, з-за них Ubuntu і виділяють в окрему операційну систему, яка входить в четвірку за популярністю серед користувачів сімейства.
Файрвол (firewall) — вогняна стіна, грубо кажучи, екран, який контролює всі вхідні і вихідні трафики і дозволяє контролювати їх: дозволяти або забороняти. Лінукс в багатьох аспектах набагато безпечніше тієї ж Windows, і вірусів немає, і файлову систему крутіше (НЕ фрагментируется), але це не означає, що можна нехтувати безпекою і ігнорувати прекрасну можливість убезпечити свої дані файрволом.
У різних версіях Linux з файрволом справи йдуть по-різному, в нашому випадку передбачений стандартний простий ufw, настройка якого в Ubuntu відбувається за допомогою командного рядка. Це довго, складно і незручно, тим більше при копіюванні команд деякі символи можуть замінитися на альтернативні, і доведеться доводити команди вручну або, взагалі, набирати їх цілком. Звичайному користувачеві розібратися в цих нетрях не просто, та й не сильно хочеться, тому ми будемо використовувати графічну оболонку Gufw, яка дозволить нам керувати можливостями файрволу без зайвих мук, просто працюючи з інтерфейсом програми.
У стокової Лінукс встановлено дуже потужний iptables, розібратися з яким недосвідченому користувачу вкрай складно, тому Gufw — справжній рятувальний круг. Давайте розбиратися, як його встановити і налаштувати.
установка Gufw
Спочатку в системі не встановлений Gufw, тому нам необхідно його встановити, прописавши в командному рядку:
$ Sudo apt install gufw
Запускаємо програму, вводимо пароль, той самий, який ви вводите при вході в систему.
вводимо пароль
Файрвол потрібно додати в автозавантаження, щоб все його конфігурації залишалися в незмінному вигляді, вводимо в командному рядку:
$ Sudo ufw enable
Отже, перед нами вікно програми. Ми знаходимося на вкладці з корисною інформацією, можемо прочитати, інші вкладки ми теж задіємо, але трохи пізніше. Насамперед нам потрібно активувати програму, для цього клацаємо на перемикач, всі доступні функції активуються і стають доступні для редагування і змін.
Для зручності в програмі передбачено три профілю: будинок, громадське місце, офіс. На первинному екрані ми можемо поставити тільки загальні налаштування. Наприклад, якщо розбиратися далі в правилах немає бажання або можливості — можна просто заборонити вхідний трафік і дозволити вихідний.
Можна заборонити наприклад вхідний і вихідний трафік
ВАЖЛИВО. Заборона і вхідного і вихідного трафіку блокує всі підключення, доступу в інтернет просто не буде. Але так можна робити, якщо потім додати спеціальні правила довіреною процесам і програмами.
Перейшовши в «Правка», «Параметри» можна змінити загальні налаштування програми і створити свої профілі, для яких згодом створити окремі правила.
Можна заборонити наприклад вхідний трафік і дозволити вихідний
Налаштування Gufw
Приступаємо до налаштування Ubuntu firewall. На головному вікні програми переходимо у вкладку «Правила», там, власне, ми їх і будемо видаляти. Знизу у нас є три кнопки + — і ≡, означають вони відповідно «Додати правило», «Видалити правило» і «Змінити правило». Давайте спробуємо заборонити і вхідні та вихідні підключення, потім створити виключає правило для DNS. Перевіряємо трафік за допомогою команди в командному рядку:
$ Ping ya.ru
Переконуємося, що доступу немає і діємо далі.
Тиснемо «Додати правило», нам потрібно вибрати політику, наш варіант «Дозволити». Можна також вибрати одну сторону або обидві, для яких буде виконуватися правило. Вказуємо додаток — DNS, пошук можна розбивати на категорії, щоб знайти було легше. Тиснемо кнопку «Додати» і правило створено. Перевіряємо зміни в командному рядку за допомогою тієї ж фрази.
Додавання правила мережевого екрану
Ми отримали АйПи, але ICMP все ще заборонений, який висновок? Такий спосіб контролю додатків не універсальний і не зачіпає всі порти. Спеціально для нас у вікні додавання правил існують додаткові вкладки «Звичайні» і «Розширені».
На вкладці «Звичайні» ми не можемо вибрати програму, але зате можемо вказати порт і протокол. А в «Розширених» є можливість контролювати вихідний і вихідний IP.
У найзагальнішому випадку нам необхідно дозволити роботу наших браузерів, а для цього необхідно відкрити спеціальні порти. Але ми не будемо морочитися і скористаємося вбудованими можливостями і перейдемо на вкладку «Попередньо», де ми створимо дозволяє правило для HTTP і HTTPS. Після таких маніпуляцій все браузери в системи зможуть працювати.
Необов’язково забороняти все підключення і потім створювати окремі дозволяють правила, можна вчинити навпаки: вирішити всі з’єднання, а потім створювати забороняють правила.
Додаткові функції
Швиденько пробіжимося по двох залишилися вкладках на головному вікні програми.
Вкладка «Звіт» надає нам інформацію за програмами і процесам, які хочуть отримати доступ. Грунтуючись на цій інформації, ми можемо виявити небажані програми і заборонити їм доступ, дуже зручний інструмент.
Звіт в Gufw
«Журнал» дозволяє нам відстежувати будь-які зміни в налаштуваннях програми. Створили правило — в журналі прописалася рядок, видалили правило — те ж саме.
Відстеження роботи програми
висновок
Налаштування файрвола Ubuntu зводиться до створення і видалення правил, на цьому будується принцип роботи захисту. Як ми переконалися, нічого складного або надприродного в установці і настройці немає, все досить просто і зрозуміло. Кожен користувач в силах налаштувати файрвол під себе, і він повинен зробити саме так, тому що на кожній машині існує свій набір програм, природно, для кожної машини потрібен свій набір заборон і дозволів.
Якщо у вас з’явилися питання — задайте їх в коментарях.
