UFW trên Linux

Ufw là một giao diện dễ sử dụng cho các lệnh chuẩn trong iptables của Linux. Bạn còn có thể quản lý ufw thông qua giao diện đồ họa. Tường lửa trong Ubuntu được xây dựng để đơn giản hóa các tác vụ tường lửa cơ bản cho người dùng mà không cần học iptables. Mặc dù không mạnh mẽ bằng những câu lệnh iptables chuẩn nhưng bù lại, nó ít phức tạp cho người dùng.

Kích hoạt tường lửa

Tường lửa mặc định bị vô hiệu hóa. Để kích hoạt tường lửa, nhập câu lệnh sau từ cửa sổ lệnh:

systemctl start ufw
systemctl enable ufw
ufw enable

Người dùng không cần thiết phải kích hoạt tường lửa trước. Có thể thêm những luật (rule) khi tường lửa chưa kích hoạt và kích hoạt nó sau khi cấu hình xong.

Để huỷ kích hoạt UFW, sử dụng lệnh.

ufw disable
systemctl stop ufw
systemctl disable ufw

Để khởi động lại UFW.

systemctl restart ufw

Để cập nhật các rule mới.

ufw reload

Đặt luật cho tường lửa

Giả sử ta muốn cho phép lưu lượng SSH qua cổng 22. Để làm điều này, hãy sử dụng một trong số những câu lệnh sau:

sudo ufw allow 22 (Cho phép cả lưu lượng UDP và TCP)
sudo ufw allow 22/tcp (Chỉ cho phép lưu lượng TCP)
sudo ufw allow ssh (Kiểm tra trong file /etc/services trên hệ thống để tìm cổng mà SSH yêu cầu và cho phép nó. Nhiều service phổ biến được liệt kê trong file này)

Ufw giả sử người dùng muốn đặt luật cho lưu lượng đến, nhưng ta cũng có thể quy định hướng lưu lượng. Ví dụ như, để chặn lưu lượng SSH ra mạng, gõ câu lệnh sau:

sudo ufw reject out ssh

Để xem tất cả những luật đã được tạo ra, ta sử dụng câu lệnh sau:

ufw status

Để xóa một luật, thêm từ khóa delete trước luật đó. Ví dụ như, để dừng hành động chặn lưu lượng SSH ra ngoài mạng, sử dụng câu lệnh sau:

sudo ufw delete reject out ssh

Ufw cho phép đặt những luật khá phức tạp. Ví dụ như, luật sau đây từ chối lưu lượng TCP từ địa chỉ IP 12.34.56.78 đến cổng 22 trên máy cục bộ:

sudo ufw deny proto tcp from 12.34.56.78 to any port 22

Để đặt lại tường lửa về trạng thái mặc định, sử dụng câu lệnh:

sudo ufw reset

Các ứng dụng

Một số ứng dụng cần những cổng mở thì được lưu trong profile của ufw để hoạt động dễ dàng hơn. Để xem thông tin chi tiết về ứng dụng có trên máy cục bộ, sử dụng câu lệnh sau:

sudo ufw app list

Xem thông tin chi tiết và và những luật kèm theo bằng câu lệnh:

sudo ufw app info Name

Cho phép ứng dụng bằng câu lệnh sau:

sudo ufw allow Name

Thông tin thêm

Cơ chế lưu (logging) bị vô hiệu hóa mặc định, nhưng nếu muốn, người dùng vẫn có thể kích hoạt logging để lưu những thông báo của tường lửa vào nhật ký hệ thống (sys log):

sudo ufw logging on

Để tìm hiểu thêm thông tin về ufw, chạy câu lệnh man ufw để đọc trang hướng dẫn về ufw. Hãy nhớ rằng, bạn không thể làm mọi thứ với ufw. Đối với những tác vụ phức tạp hơn liên quan đến tường lửa, ta sẽ phải sử dụng iptables.

ufw allow from 118.79.213.185
ufw allow from 103.138.88.0/23
ufw allow from 103.15.48.0/23
ufw deny from 0.0.0.0/0

Để xoá 1 rule cụ thể hãy sử dụng lệnh dưới để list number của các rule.

ufw status numbered

Ví dụ như dưới.

$ ufw status numbered
Status: active
 
To                         Action      From
--                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 443                        ALLOW IN    Anywhere
[ 3] 80                         ALLOW IN    Anywhere
[ 4] 22/tcp (v6)                ALLOW IN    Anywhere (v6)
[ 5] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 6] 80 (v6)                    ALLOW IN    Anywhere (v6)

Sau khi xác định được số number của rule cần xoá, thực hiện cú pháp như dưới để thực hiện xoá rule.

$ ufw delete 2
ufw delete 2
Deleting:
allow 443
Proceed with operation (y|n)?

Để insert rule vào vị trí mong muốn, sử dụng lệnh insert cú pháp sau.

ufw insert 1 deny from 192.168.0.3 to any port 22 proto tcp