ホーム > ネットワーク管理 > ufw-deny

ufw-deny: 特定ネットワーク接続のブロック

ufw-denyはUncomplicated Firewall(UFW)のサブコマンドで、特定のポート、IPアドレス、プロトコル、またはアプリケーションへのネットワーク接続をブロックするために使用されます。このコマンドは、システムのセキュリティを強化し、不要なアクセスを防ぐために不可欠です。

概要

ufw-denyはUFW(Uncomplicated Firewall)のコア機能の一つであり、システムへの流入または流出する特定のネットワークトラフィックを明示的にブロックするルールを設定します。これは、サーバーやワークステーションのセキュリティポリシーを定義する上で重要であり、悪意のあるアクセスや不要なサービスへの露出を防ぐために使用されます。

主な機能

ufw-denyを使用して、以下の種類の接続をブロックできます。

  • 特定のポート番号へのアクセスブロック(例:HTTP、SSH)
  • 特定のIPアドレスまたはサブネットからのアクセスブロック
  • 特定のプロトコル(TCP、UDP)に基づく接続ブロック
  • 事前に定義されたアプリケーションプロファイルに基づくアクセスブロック

主なオプション

ufw denyコマンドと共に使用される主なオプションです。これらのオプションを組み合わせることで、詳細なブロックルールを設定できます。

宛先と方向の指定

生成されたコマンド:

コマンドを組み合わせてみてください。

説明:

`ufw-deny` コマンドを実行します。

これらのオプションを組み合わせて、AIと一緒に仮想的にコマンドを実行してみてください。

使用例

ufw-denyコマンドを活用した様々なネットワークブロックルール設定の例です。

すべての外部IPからポート80(HTTP)へのアクセスをブロック

sudo ufw deny 80

Webサーバーのポート80へのすべての受信接続をブロックします。

特定のIPアドレスからのすべての接続をブロック

sudo ufw deny from 192.168.1.100

特定の悪意のあるIPアドレス(例:192.168.1.100)からのすべての受信接続をブロックします。

特定のIPアドレスからポート22(SSH)へのTCP接続をブロック

sudo ufw deny from 192.168.1.100 to any port 22 proto tcp

特定のIPからSSHポートへのTCP接続のみをブロックし、他のサービスは維持します。

特定のアプリケーション(例:Apache)へのアクセスをブロック

sudo ufw deny Apache

UFWに定義されたApacheプロファイルに従ってWebサーバーへのアクセスをブロックします。

送信ポート53(DNS)UDP接続をブロック

sudo ufw deny out 53 proto udp

システムから外部へのDNSクエリ(UDPポート53)をブロックします。

インストール

UFWはほとんどのUbuntu/Debianベースのシステムにデフォルトでインストールされていますが、他のディストリビューションや最小インストール環境では手動でインストールする必要がある場合があります。

Debian/Ubuntuベースのシステム

sudo apt update && sudo apt install ufw

APTパッケージマネージャーを使用してUFWをインストールします。

CentOS/RHEL/Fedoraベースのシステム

sudo dnf install ufw

DNF(またはYum)パッケージマネージャーを使用してUFWをインストールします。

ヒントと注意点

ufw-denyコマンドを使用する際は、システムのアクセス可能性を考慮して慎重にルールを設定する必要があります。誤ったルールは重要なサービスの動作を妨げる可能性があります。

主なヒント

  • **ルールの順序の重要性**: UFWルールは上から下へ処理されるため、特定のルールが他のルールによって無効化されないように順序を考慮する必要があります。一般的に、'deny'ルールは'allow'ルールより先に適用されるべき場合があります。
  • **デフォルトポリシーの確認**: `sudo ufw status verbose`コマンドで現在のUFWのデフォルトポリシー(例:デフォルトdeny)を確認し、必要に応じて`sudo ufw default deny incoming`などで変更できます。
  • **SSHアクセスに関する注意**: リモートサーバーで作業する場合、SSHポート(デフォルト22)をブロックするとサーバーにアクセスできなくなるため、常にSSHアクセス許可ルールを先に設定する必要があります(例:`sudo ufw allow ssh`)。
  • **ルールの削除**: `sudo ufw status numbered`でルール番号を確認した後、`sudo ufw delete <番号>`で特定のルールを削除できます。
  • **UFWの有効化/無効化**: `sudo ufw enable`でファイアウォールを有効にし、`sudo ufw disable`で無効にできます。有効化する際は、必ずSSHポートの許可ルールが存在することを確認してください。

同じカテゴリのコマンド

aria2c

aria2c: マルチプロトコルダウンロードマネージャー

curl

curl -I: HTTPヘッダー情報の確認

curl

curl: HTTPリクエストとファイル転送(サイレントモード)

curl-verbose

curl-verbose: curlの詳細通信情報出力

dig

dig: DNS情報の取得