Обзор
ufw-deny является одной из ключевых функций UFW (Uncomplicated Firewall), которая позволяет устанавливать правила для явной блокировки определенного сетевого трафика, входящего в систему или исходящего из нее. Это важно для определения политики безопасности сервера или рабочей станции и используется для предотвращения вредоносного доступа или раскрытия ненужных служб.
Основные функции
С помощью ufw-deny вы можете блокировать следующие типы соединений:
- Блокировка доступа к определенным номерам портов (например, HTTP, SSH)
- Блокировка доступа с определенных IP-адресов или подсетей
- Блокировка соединений на основе определенных протоколов (TCP, UDP)
- Блокировка доступа в соответствии с предопределенными профилями приложений
Основные опции
Основные опции, используемые с командой ufw deny. Комбинируя эти опции, вы можете устанавливать точные правила блокировки.
Указание цели и направления
Сгенерированная команда:
Комбинируйте команды.
Описание:
`ufw-deny` Запускает команду.
Комбинируйте эти опции, чтобы виртуально выполнять команды с помощью ИИ.
Примеры использования
Примеры настройки различных правил блокировки сети с использованием команды ufw-deny.
Блокировка доступа к порту 80 (HTTP) со всех внешних IP-адресов
sudo ufw deny 80Блокирует все входящие соединения на порт 80 веб-сервера.
Блокировка всех соединений с определенного IP-адреса
sudo ufw deny from 192.168.1.100Блокирует все входящие соединения с определенного вредоносного IP-адреса (например, 192.168.1.100).
Блокировка TCP-соединений к порту 22 (SSH) с определенного IP-адреса
sudo ufw deny from 192.168.1.100 to any port 22 proto tcpБлокирует только TCP-соединения к порту SSH с определенного IP, сохраняя другие службы.
Блокировка доступа к определенному приложению (например, Apache)
sudo ufw deny ApacheБлокирует доступ к веб-серверу в соответствии с профилем Apache, определенным в UFW.
Блокировка исходящих UDP-соединений на порт 53 (DNS)
sudo ufw deny out 53 proto udpБлокирует исходящие DNS-запросы (порт 53 UDP) из системы.
Установка
UFW обычно предустановлен в большинстве систем на базе Ubuntu/Debian, но может потребоваться ручная установка в других дистрибутивах или в минимальных конфигурациях.
Системы на базе Debian/Ubuntu
sudo apt update && sudo apt install ufwУстановка UFW с использованием менеджера пакетов APT.
Системы на базе CentOS/RHEL/Fedora
sudo dnf install ufwУстановка UFW с использованием менеджера пакетов DNF (или Yum).
Советы и предостережения
При использовании команды ufw-deny следует осторожно настраивать правила, учитывая доступность системы. Неправильные правила могут нарушить работу важных служб.
Основные советы
- **Важность порядка правил**: Правила UFW обрабатываются сверху вниз, поэтому следует учитывать порядок, чтобы определенные правила не были отменены другими. Обычно правила 'deny' могут применяться раньше правил 'allow'.
- **Проверка политики по умолчанию**: Проверьте политику UFW по умолчанию (например, 'deny' по умолчанию) с помощью команды `sudo ufw status verbose` и при необходимости измените ее, например, `sudo ufw default deny incoming`.
- **Осторожность с доступом по SSH**: При работе на удаленном сервере блокировка порта SSH (по умолчанию 22) приведет к невозможности доступа к серверу, поэтому всегда сначала устанавливайте правило разрешения доступа по SSH (например, `sudo ufw allow ssh`).
- **Удаление правил**: Вы можете удалить определенное правило, проверив номера правил с помощью `sudo ufw status numbered`, а затем выполнив `sudo ufw delete <номер>`.
- **Включение/отключение UFW**: Включите брандмауэр с помощью `sudo ufw enable` и отключите с помощью `sudo ufw disable`. При включении всегда проверяйте наличие правила разрешения порта SSH.