Ako nastaviť bránu firewall na serveri Ubuntu

Publikované: 15. februára 2025 o 21:34:25 UTC

Tento článok vysvetľuje a poskytuje niekoľko príkladov, ako nastaviť firewall na GNU/Linux pomocou ufw, čo je skratka pre Uncomplicated FireWall – a názov sedí, je to naozaj veľmi jednoduchý spôsob, ako zabezpečiť, aby ste nemali otvorených viac portov, ako potrebujete.

Táto stránka bola strojovo preložená z angličtiny, aby bola prístupná čo najväčšiemu počtu ľudí. Žiaľ, strojový preklad ešte nie je dokonalá technológia, takže sa môžu vyskytnúť chyby. Ak chcete, môžete si pozrieť pôvodnú anglickú verziu tu:

How to Set Up a Firewall on Ubuntu Server

Informácie v tomto príspevku sú založené na serveri Ubuntu 14.04 x64. Môže a nemusí platiť pre iné verzie. (Aktualizácia: Môžem potvrdiť, že informácie v tomto príspevku sú v zásade stále platné a funkčné od Ubuntu Server 24.04, avšak za tých 10 rokov sa ufw o niečo „inteligentnejšie“ stalo tým, že má profily pre bežné serverové aplikácie (napríklad môžete povoliť „Nginx full“ namiesto portov 80 a 443 samostatne) a nie je potrebné zakázať/povoliť nové pravidlá

Keď som prvýkrát začal so servermi GNU/Linux (Ubuntu), nastavenie brány firewall zahŕňalo manuálne vytváranie a udržiavanie potenciálne zložitého konfiguračného súboru pre iptables. Nedávno som však objavil ufw , čo je skratka pre Uncomplicated Firewall – a naozaj je :-)

Moja inštalácia Ubuntu Server 14.04 už mala nainštalovaný ufw, ale ak nie, jednoducho ho nainštalujte z úložísk:

sudo apt-get install ufw

UFW je vlastne len nástroj, ktorý zjednodušuje konfiguráciu iptables – v zákulisí je to stále iptables a firewall jadra Linuxu, ktorý robí filtrovanie, takže ufw nie je ani menej, ani bezpečnejšie ako tieto. Keďže však ufw značne uľahčuje správnu konfiguráciu brány firewall, môže znížiť riziko ľudskej chyby, a preto je možno bezpečnejší pre neskúsených správcov.

Ak je váš server nakonfigurovaný s IPv6 aj IPv4, uistite sa, že je to povolené aj pre UFW. Upravte súbor /etc/default/ufw a vyhľadajte riadok IPV6=yes . V mojej inštalácii to už bolo, ale ak to tak nie je, alebo ak hovorí nie, mali by ste to upraviť

Potom jednoducho použite príkazový riadok na povolenie portov, ktoré chcete otvoriť. Ak ste pripojení k serveru cez ssh, uistite sa, že to tiež povolíte, inak to môže narušiť vaše pripojenie a prípadne vás uzamknúť z vášho servera, keď ho aktivujete – v závislosti od toho, či máte fyzický prístup k serveru alebo nie, to môže byť trochu nepohodlné ;-)

Napríklad, ak používate ssh na štandardnom porte 22 a konfigurujete webový server, ktorý podporuje nešifrované (HTTP na porte 80) aj šifrované (HTTPS na porte 443) pripojenia, zadali by ste nasledujúce príkazy na konfiguráciu ufw:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Ak potrebujete ďalšie pravidlá, jednoducho ich pridajte, ako je uvedené vyššie.

Ak máte statickú IP adresu a potrebujete sa pripojiť cez ssh iba z jedného miesta, môžete tiež obmedziť ssh pripojenia na jednu pôvodnú adresu, ako je toto:

sudo ufw allow from 192.168.0.1 to any port 22

Samozrejme, zadajte namiesto toho svoju vlastnú IP adresu.

Po dokončení povoľte ufw zadaním:

sudo ufw enable

A hotovo! Firewall je spustený a automaticky sa spustí po reštarte servera :-)

Ak vykonáte zmeny v konfigurácii ufw, možno ho budete musieť deaktivovať a znova povoliť, aby sa prejavili takto:

sudo ufw disable
sudo ufw enable

Ak chcete zobraziť aktuálnu konfiguráciu, jednoducho zadajte:

sudo ufw status

Ak ufw nie je povolené, zobrazí sa správa „neaktívne“, inak sa zobrazia aktuálne definované pravidlá.