Astra linux отключить firewall
Когда брандмауэр мешает вам, вы все равно можете контролировать
Однако бывают случаи, когда этот брандмауэр мешает. Например, вы обнаружили, что ваш компьютер не может подключиться к сети (или другие компьютеры не могут связаться с вами). Вы перезапустили свой модем, и все же ваш компьютер не может подключиться к Интернету или через SSH. Что дает? Проблема может быть в сетевой подсистеме на вашем компьютере или в брандмауэре. В любом случае, вам нужно выяснить, что не так.
Это всего лишь один сценарий, когда полезно отключить брандмауэр в Ubuntu Linux.
Версия Ubuntu
В этой статье в качестве примера будет использоваться Ubuntu 18.04, но этот процесс будет одинаковым для любой версии Ubuntu, которая все еще поддерживается (16.04, 16.10, 18.04 и 18.10), а также для любого производного Ubuntu, использующего Uncomplicated Firewall.
Почему вы не хотите отключать брандмауэр
С этой целью, если вы окажетесь в ситуации, когда вам необходимо отключить брандмауэр на вашем компьютере с Ubuntu Linux, убедитесь, что это делается только на временной основе. Что это значит? Если вам необходимо отключить брандмауэр по определенной причине, обязательно включите его снова, как только вы закончите задачу.
Как отключить брандмауэр
Средством брандмауэра по умолчанию в Ubuntu Linux является Несложный брандмауэр (UFW). Чтобы узнать текущее состояние вашего брандмауэра, введите команду
Брандмауэр должен быть указан как активный, а также перечислит все добавленные вами правила.
Чтобы отключить UFW, введите команду
, и брандмауэр будет указан как неактивный.
После того, как вы позаботились об этом, снова включите UFW с помощью команды
. Надеемся, это решит ваши проблемы.
Подробный статус
Если вам нужна дополнительная информация о состоянии UFW, вы всегда можете выполнить команду status с помощью подробного переключателя. Эта команда
Подробный вывод будет содержать уровень ведения журнала, политики по умолчанию и любые добавленные вами правила.
Сброс правил
Если вы чувствуете, что вам нужно полностью начать заново с UFW, и вы не хотите проходить процесс удаления всех своих правил, вы всегда можете запустить сброс. Для этого выполните команду
Во всех дистрибутивах Linux для обеспечения сетевой безопасности и изоляции внутренних процессов от внешней среды используется брандмауэр iptables. Но его настройка может показаться очень сложной для новых пользователей, поэтому многие дистрибутивы создают собственные оболочки, которые упрощают процесс настройки.
В Ubuntu используется оболочка под названием UFW или Uncomplicated FireWall. В этой статье мы разберём, как выполняется настройка UFW Ubuntu, а также как пользоваться основными возможностями этой программы.
Команда UFW Ubuntu
1. Синтаксис ufw
Для управления возможностями брандмауэра используется одноимённая команда - ufw. Давайте сначала рассмотрим её опции и параметры, а потом перейдём к настройке. Синтаксис команды такой:
$ ufw опции действие параметры
Опции определяют общие настройки поведения утилиты, действие указывает, что нужно сделать, а параметры - дополнительные сведения для действия, например, IP-адрес или номер порта.
Сначала разберём опции утилиты:
- --version - вывести версию брандмауэра;
- --dry-run - тестовый запуск, никакие реальные действия не выполняются.
2. Команды UFW
Для выполнения действий с утилитой доступны такие команды:
- enable - включить фаерволл и добавить его в автозагрузку;
- disable - отключить фаерволл и удалить его из автозагрузки;
- reload - перезагрузить файервол;
- default - задать политику по умолчанию, доступно allow, deny и reject, а также три вида трафика - incoming, outgoing или routed;
- logging - включить журналирование или изменить уровень подробности;
- reset - сбросить все настройки до состояния по умолчанию;
- status - посмотреть состояние фаервола;
- show - посмотреть один из отчётов о работе;
- allow - добавить разрешающее правило;
- deny - добавить запрещающее правило;
- reject - добавить отбрасывающее правило;
- limit - добавить лимитирующее правило;
- delete - удалить правило;
- insert - вставить правило.
Это были все опции и команды, которые вы можете использовать в ufw. Как видите, их намного меньше, чем в iptables и всё выглядит намного проще, а теперь давайте рассмотрим несколько примеров настройки.
Настройка UFW Ubuntu
1. Как включить UFW
Сначала нужно отметить, что в серверной версии Ubuntu UFW по умолчанию включён, а в версии для рабочего стола он отключён. Поэтому сначала смотрим состояние фаервола:
sudo ufw status
Если он не включён, то его необходимо включить:
sudo ufw enable
Затем вы можете снова посмотреть состояние:
sudo ufw status
Обратите внимание, что если вы работаете по SSH, то перед тем, как включать брандмауэр, нужно добавить правило, разрешающее работу по SSH, иначе у вас не будет доступа к серверу. Подождите с включением до пункта 3.
2. Политика по умолчанию
Перед тем, как мы перейдём к добавлению правил, необходимо указать политику по умолчанию. Какие действия будут применяться к пакетам, если они не подпадают под созданные правила ufw. Все входящие пакеты будем отклонять:
sudo ufw default deny incoming
А все исходящие разрешим:
sudo ufw default allow outgoing
3. Добавление правил UFW
Чтобы создать разрешающее правило, используется команда allow. Вместо allow могут использоваться и запрещающие правила ufw - deny и reject. Они отличаются тем, что для deny компьютер отсылает отправителю пакет с уведомлением об ошибке, а для reject просто отбрасывает пакет и ничего не отсылает. Для добавления правил можно использовать простой синтаксис:
$ ufw allow имя_службы
$ ufw allow порт
$ ufw allow порт/протокол
Например, чтобы открыть порт ufw для SSH, можно добавить одно из этих правил:
sudo ufw allow OpenSSH
sudo ufw allow 22
sudo ufw allow 22/tcp
Первое и второе правила разрешают входящие и исходящие подключения к порту 22 для любого протокола, третье правило разрешает входящие и исходящие подключения для порта 22 только по протоколу tcp.
Посмотреть доступные имена приложений можно с помощью команды:
sudo ufw app list
Можно также указать направление следования трафика с помощью слов out для исходящего и in для входящего.
$ ufw allow направление порт
Например, разрешим только исходящий трафик на порт 80, а входящий запретим:
sudo ufw allow out 80/tcp
sudo ufw deny in 80/tcp
Также можно использовать более полный синтаксис добавления правил:
$ ufw allow proto протокол from ip_источника to ip_назначения port порт_назначения
В качестве ip_источника может использоваться также и адрес подсети. Например, разрешим доступ со всех IP-адресов для интерфейса eth0 по протоколу tcp к нашему IP-адресу и порту 3318:
sudo ufw allow proto tcp from 0.0.0.0/24 to 192.168.1.5 port 3318
4. Правила limit ufw
С помощью правил limit можно ограничить количество подключений к определённому порту с одного IP-адреса, это может быть полезно для защиты от атак перебора паролей. По умолчанию подключения блокируются, если пользователь пытается создать шесть и больше подключений за 30 секунд:
sudo ufw limit ssh/tcp
К сожалению, настроить время и количество запросов можно только через iptables.
5. Просмотр состояния UFW
Посмотреть состояние и действующие на данный момент правила можно командой status:
sudo ufw status
Чтобы получить более подробную информацию, используйте параметр verbose:
sudo ufw status verbose
С помощью команды show можно посмотреть разные отчеты:
- raw - все активные правила в формате iptables;
- builtins - правила, добавленные по умолчанию;
- before-rules - правила, которые выполняются перед принятием пакета;
- user-rules - правила, добавленные пользователем;
- after-rules - правила, которые выполняются после принятия пакета;
- logging-rules - правила логгирования пакетов;
- listening - отображает все прослушиваемые порты и правила для них;
- added - недавно добавленные правила;
Например, посмотрим список всех правил iptables:
sudo ufw show raw
Посмотрим все прослушиваемые порты:
sudo ufw show listening
Или недавно добавленные правила:
sudo ufw show added
6. Удаление правил ufw
Чтобы удалить правило ufw, используется команда delete. Например, удалим ранее созданные правила для порта 80:
sudo ufw delete allow out 80/tcp
sudo ufw delete deny in 80/tcp
7. Логгирование в ufw
Чтобы отлаживать работу ufw, могут понадобится журналы работы брандмауэра. Для включения журналирования используется команда logging:
sudo ufw logging on
sudo ufw logging medium
Также этой командой можно изменить уровень логгирования:
- low - минимальный, только заблокированные пакеты;
- medium - средний, заблокированные и разрешённые пакеты;
- high - высокий.
Лог сохраняется в папке /var/log/ufw. Каждая строчка лога имеет такой синтаксис:
[UFW действие] IN=интерфейс OUT=итерфейс SRC=ip_источника DST=ip_назначения LEN=размер_пакета TOS=0x10 PREC=0x00 TTL=64 DF PROTO=протокол SPT=порт_источника DPT=порт назначения LEN=размер_пакета
В качестве действия приводится то, что UFW сделал с пакетом, например ALLOW, BLOCK или AUDIT. Благодаря анализу лога настройка UFW Ubuntu станет гораздо проще.
8. Отключение UFW
Если вы хотите полностью отключить UFW, для этого достаточно использовать команду disable:
sudo ufw disable
Выводы
В этой небольшой статье мы разобрали, как настроить UFW Ubuntu для защиты вашего компьютера от угроз из сети. Это особенно актуально для серверов, потому что они постоянно доступны из интернета.
Как я могу запустить / остановить службу iptables в Ubuntu?
но это дает "непризнанный сервис" .
Почему это так? Есть ли другой метод?
Я не знаю об «Ubuntu», но в Linux вообще «iptables» - это не служба, а команда для управления брандмауэром ядра netfilter. Вы можете «отключить» (или остановить) брандмауэр, установив для всех стандартных цепочек политики по умолчанию «ПРИНЯТЬ» и сбросив правила.
(Возможно, вам придется очистить и другие таблицы, например, «nat», если вы их использовали)
Разве это не выбросит все действующие правила навсегда? Лучше всего сначала сохранить их где-нибудь с помощью sudo iptables-save> / tmp / rules Это не останавливает обслуживание, а просто позволяет всему пройти. @JensTimmerman iptables-save > /tmp/rules спас мой день. СпасибоВы все не правы :-)
Команда, которую вы ищете:
конечно, если бы мы говорили о UFW, но этот пост о iptables Ну, я предположил, что это была установка Ubuntu по умолчанию, и в ней нет iptables, но есть ufw. Возможно, но, как и ufw == iptables (более или менее) в Ubuntu, отключение ufw равнозначно отключению iptables. Скорее всего, OP действительно заинтересован в отключении брандмауэров, вместо того, чтобы разбираться в тонкостях службы iptables для управления брандмауэрами, так что это хороший ответ.Я бы сначала проверил, установлен ли он с (вероятно, так):
В Ubuntu iptables не является службой. Чтобы остановить это, вы должны сделать следующее:
Чтобы восстановить ваши предыдущие правила:
Iptables - это команда, а не служба, поэтому обычно невозможно использовать такие команды, как
для запуска и остановки брандмауэра, но некоторые дистрибутивы, такие как centos, установили службу iptables для запуска и остановки брандмауэра и файл конфигурации для его настройки. В любом случае можно создать сервис для управления редактированием ipotables или установить скрипт для этой области. Все сервисы в Linux, Ubuntu не является исключением, являются исполняемыми скриптами внутри папки /etc/init.d, которая реализует стандартный интерфейс (start, stop, restart). Возможный скрипт выглядит следующим образом:
Этот скрипт является частью этого руководства , все команды для настройки брандмауэра должны быть вставлены, в соответствии с приведенным выше сценарием, в файл /etc/iptables.conf. Этот скрипт необходимо вставить в файл с именем iptables в /etc/init.d и сделать его исполняемым с помощью
и добавьте сервис к уровням запуска, используя
Вы можете добавить новые правила из оболочки, эти правила будут немедленно активны и будут добавлены в /etc/iptables.conf, когда служба остановится (это означает, что они обязательно будут сохранены при завершении работы системы).
Я надеюсь, что это будет полезно для всех.
Поскольку iptables и ufw являются способами управления брандмауэром netfilter в Linux, а также тем, что оба доступны по умолчанию в Ubuntu, вы можете использовать либо для запуска, либо для остановки (и управления) правилами брандмауэра.
iptables более гибок, но поскольку ufw предоставляет очень простой язык интерфейса для простых и типичных функций, которые вы можете использовать:
Для просмотра текущих настроек брандмауэра используйте sudo ufw status verbose , или iptables -L .
Чтобы удалить все текущие правила, вы можете использовать эти команды (поместите их в некоторый скрипт):
Все пакеты пропускаются через определенные для них последовательности цепочек. При прохождении пакетом цепочки, к нему последовательно применяются все правила этой цепочки в порядке их следования. Под применением правила понимается: во-первых, проверка пакета на соответствие критерию, и во-вторых, если пакет этому критерию соответствует, применение к нему указанного действия. Под действием может подразумеваться как элементарная операция (встроенное действие, например, ACCEPT, MARK), так и переход в одну из пользовательских цепочек. В свою очередь, действия могут быть как терминальными, то есть прекращающими обработку пакета в рамках данной базовой цепочки (например, ACCEPT, REJECT), так и нетерминальными, то есть не прерывающими процесса обработки пакета (MARK, TOS). Если пакет прошел через всю базовую цепочку и к нему так и не было применено ни одного терминального действия, к нему применяется действие по умолчанию для данной цепочки (обязательно терминальное).
ACCEPT, DROP и REJECT — базовые операции фильтрации
Данная таблица предназначена для операций по классификации и маркировке пакетов и соединений, а также модификации заголовков пакетов (поля TTL и TOS).
Предназначена для операций stateful-преобразования сетевых адресов и портов обрабатываемых пакетов.
Предназначена для фильтрации трафика, то есть разрешения и запрещения пакетов и соединений.
Таблица filter содержит следующие цепочки:
Правила стоит располагать по возможности в порядке от наиболее частых попаданий к наиболее редким.
При отсутствии правил вывод будет примерно таким:
Если вывод отличается, то сброс настроек можно сделать командой
При отсутствии правил вывод будет примерно таким:
Для цепочки "проходящая" устанавливаем блокировку, для цепочки "выходная" устанавливаем разрешение, для цепочки "входная" устанавливаем блокировку. Далее будут правила, определяющие исключения для этих политик.
1. Разрешим трафик, принадлежащий установленным соединениям
2. Разрешим локальный интерфейс
3. Запретим "неправильный" трафик (не открывающий новое соединение и не принадлежащий никакому установленному соединению).
4. Разрешим новые ICMP запросы (ping). Остальные запросы ping будут обработаны первым правилом.
5. Разрешим новые входные соединения по портам
Если установлен веб-сервер
Если необходима связь по SSH
Если установлен DNS-сервер
есть возможность объединить несколько правил (для увеличения производительности):
6. Все новые входящие соединения, не обработанные предыдущими цепочками, запретим.
Читайте также: