Настройка ufw на linux (ubuntu)

Команда UFW Ubuntu

1. Синтаксис ufw

Для управления возможностями брандмауэра используется одноимённая команда — ufw. Давайте сначала рассмотрим её опции и параметры, а потом перейдём к настройке. Синтаксис команды такой:

$ ufw опции действие параметры

Опции определяют общие настройки поведения утилиты, действие указывает, что нужно сделать, а параметры — дополнительные сведения для действия, например, IP-адрес или номер порта.

Сначала разберём опции утилиты:

—version — вывести версию брандмауэра;
—dry-run — тестовый запуск, никакие реальные действия не выполняются.

2. Команды UFW

Для выполнения действий с утилитой доступны такие команды:

enable — включить фаерволл и добавить его в автозагрузку;
disable — отключить фаерволл и удалить его из автозагрузки;
reload — перезагрузить файервол;
default — задать политику по умолчанию, доступно allow, deny и reject, а также три вида трафика — incoming, outgoing или routed;
logging — включить журналирование или изменить уровень подробности;
reset — сбросить все настройки до состояния по умолчанию;
status — посмотреть состояние фаервола;
show — посмотреть один из отчётов о работе;
allow — добавить разрешающее правило;
deny — добавить запрещающее правило;
reject — добавить отбрасывающее правило;
limit — добавить лимитирующее правило;
delete — удалить правило;
insert — вставить правило.

Это были все опции и команды, которые вы можете использовать в ufw. Как видите, их намного меньше, чем в iptables и всё выглядит намного проще, а теперь давайте рассмотрим несколько примеров настройки.

Предварительная подготовка

Если UFW не установлен на серверной платформе, используем стандартную утилиту:

Второй вариант – утилита установлена, но неактивна, тогда прописываем:

Важно! Любые действия, связанные с конфигурированием продукта, выполняются с правами суперпользователя. После инсталляции проверим состояние программы:

После инсталляции проверим состояние программы:

Скриншот №1. Проверка состояния программы

Стандартная конфигурация программы блокирует входящий трафик, но разрешает исходящий. Чтобы изменить параметры, открываем системный файл:

Первая строка отвечает за блокировку, а вторая за исходящие подключения.

Как сбросить брандмауэр?

Синтаксис выглядит следующим образом, что бы сбросить UFW правила к заводским установкам по умолчанию и в неактивный режим, выполните следующую команду:

$ sudo ufw reset

1	$sudo ufw reset

Примеры вывода:

Сброс всех правил, установленных по умолчанию. Это может нарушить существующие SSH
 соединения. Продолжайте операции (Y | N)? У
 Резервное копирование ‘user6.rules’ до » /etc/ufw/user6.rules.20160801_121710
 Резервное копирование ‘after.rules’ до » /etc/ufw/after.rules.20160801_121710
 Резервное копирование ‘before.rules’ до » /etc/ufw/before.rules.20160801_121710
 Резервное копирование ‘after6.rules’ до » /etc/ufw/after6.rules.20160801_121710
 Резервное копирование ‘user.rules’ до » /etc/ufw/user.rules.20160801_121710
 Резервное копирование ‘before6.rules’ до » /etc/ufw/before6.rules.20160801_121710

1
2
3
4
5
6
7
8

Сбросвсехправил,установленныхпоумолчанию.ЭтоможетнарушитьсуществующиеSSH

соединения.Продолжайтеоперации(Y|N)?У

Резервноекопирование’user6.rules’до»/etc/ufw/user6.rules.20160801_121710

Резервноекопирование’after.rules’до»/etc/ufw/after.rules.20160801_121710

Резервноекопирование’before.rules’до»/etc/ufw/before.rules.20160801_121710

Резервноекопирование’after6.rules’до»/etc/ufw/after6.rules.20160801_121710

Резервноекопирование’user.rules’до»/etc/ufw/user.rules.20160801_121710

Резервноекопирование’before6.rules’до»/etc/ufw/before6.rules.20160801_121710

Удаление правил брандмауэра UFW

Теперь вы знаете, как добавить, игнорировать, и получить список правил брандмауэра. Настало время, удалить ненужные правила. Есть два варианта удаления правила. Первый синтаксис:

$ sudo ufw delete {rule-here}

1	$sudoufwdelete{rule-here}

В этом примере, удалить HTTPS (TCP-порт 443) трафика правило,

$ sudo ufw delete allow 443

1	$sudo ufw delete allow443

Если вы больше не желаете, разрешать трафик smptd / электронной почты (порт 25), выполните:

$ sudo ufw delete allow 25

1	$sudo ufw delete allow25

Второй вариант заключается в перечислении список всех текущих правил в пронумерованном виде списка:

$ sudo ufw status numbered

1	$sudo ufw status numbered

Примеры выходов:

Status: active

To Action From
— —— —-
10.8.0.1 22/tcp ALLOW IN Anywhere
Anywhere DENY IN 123.45.67.0/24
22/tcp DENY IN 1.2.3.4

1
2
3
4
5
6
7

Statusactive

ToAction From

————

110.8.0.122/tcp ALLOW INAnywhere

2Anywhere DENY IN123.45.67.0/24

322/tcp DENY IN1.2.3.4

Чтобы удалить 2-е правило ( «UFW игнорировать от 123.45.67.89/24»), наберите команду:

Deleting:
deny from 123.45.67.0/24
Proceed with operation (y|n)? y
Rule deleted

1
2
3
4

Deleting

deny from123.45.67.0/24

Proceed with operation(y|n)?y

Rule deleted

Что такое WireGuard?

Протокол VPN определяет, как ваши данные направляются с вашего компьютера на сервер. Разные протоколы имеют разные характеристики – т.е. некоторые из них более безопасны, чем другие и лучше подходят для разных задач.

Например, некоторые протоколы отдают приоритет безопасности, а другие – скорости. При выборе VPN важно знать, для чего он вам нужен и выбирать VPN с протоколами, поддерживающими это. Хотя существует много широко используемых протоколов VPN – SSTP, PPTP и P2TP / IPSec и многие другие – есть один более новый протокол, который выделяется на фоне остальных, WireGuard. Он станет ключевым протоколом и будущим VPN

Хотя существует много широко используемых протоколов VPN – SSTP, PPTP и P2TP / IPSec и многие другие – есть один более новый протокол, который выделяется на фоне остальных, WireGuard. Он станет ключевым протоколом и будущим VPN.

Удаленный доступ к консоли

Устанавливаем ssh: — комплекс программ, позволяющих соединяться с удалёнными машинами по защищённому каналу и выполнять команды в консоли:

# aptitude install ssh

Этот метапакет содержит программу клиента ssh и службу sshd, обрабатывающую входящие ssh подключения к вашему компьютеру.

Авторизация по ключам

Генерация ключей

Вариaнт 1 (подходит для putty и native ssh клиентов Linux)

Выбираем пользователя на сервере под которым будем логиниться в ssh. Например это будет «user». Входим с его правами в консоль. Далее генерируем ключи, при желании указываем пароль на создаваемый ключ.

ssh-keygen -t rsa -b 2048 -C "комментрий к ключу" -f /user/.ssh/newserver.key

В итоге получаем в «/user/.ssh/» два файла «newserver.key» и «newserver.key.pub»

Вариaнт 2 (для всех + проприетарный Bitvise Tunnelier)

К сожалению, я не нашёл способа сконвертировать OpenSSH ключи в понятный Tunnelier-у формат. Поэтому действовать будем от обратного.

На Windows машине запускаем Bitvise Tunnelier. На вклaдке «Login» выбираем раздел «Authentickation» —> «Use keypair manager». В новом окне жмём «Generate New …», выставляем опции на свой вкус —> «Generate». Далее выбираем «Export» и сохраняем любым удобным способом публичный ключ в формате OpenSSH в файл /user/.ssh/newserver.key.pub на ssh сервере.

Для использования в других ssh клиентах аналогично экспортируем и закрытый ключ. В итоге получаем в «/user/.ssh/» два файла «newserver.key» и «newserver.key.pub»

Настройка сервера

Перемещаем открытый ключ в список разрешённых ключей Например так

mv /user/.ssh/newserver.key.pub /user/.ssh/authorized_keys

Правим конфигурацию сервера

nano /etc/ssh/sshd_config

# Разрешаем авторизацию по парам ключей
PubkeyAuthentication yes
# Путь к списку отпечатков открытых ключей
AuthorizedKeysFile      %h/.ssh/authorized_keys

Проверяем права доступа, должно быть так

root@gtw:~# ls -g .ssh
итого 4
-rw------- 1 root 392 Мар 24 20:03 authorized_keys

Если права доступа отличаются, то выставляем правильные:

chmod 600 -R .ssh && chown root:root .ssh/authorized_keys

Перезапускаем сервер

/etc/init.d/ssh restart

При появлении проблем доступа смотрим лог

cat /var/log/auth.log | tail

Настройка клиента

Выбираем пользователя на клиенте под которым будем логиниться в ssh. Например это будет «user». Логинимся по юзером. Любым удобным способом копируем сгенерированный ранее файл newserver.key в папку /home/user/.ssh. Если хочется, чтобы ssh клиент подхватывал ключ автоматически, сохраняем ключ с новыми именем «id_dsa»

Выставляем права доступа, иначе ssh клиент проигнорирует ключ.

cd /home/user
chmod 700 ./.ssh
chmod 600 ./.ssh/newserver.key

Запускаем ssh клиента.

ssh -i /home/user/.ssh/newserver.key [email protected]

Всё должно работать.

Настройка Putty

К сожалению, Putty не понимает ключи в формате OpenSSH. Поэтому загружаем latest development snapshot Puttygen. Обычный Puttygen нам не подойдёт.

Скармливаем проге наш newserver.key (Conversions —> Import key), если нужно вводим пароль для доступа ключу. Получаем окно

Если надо меняем комментарий и пароль доступа к ключу. В разделе «Parameters» рекомендую выбрать SSH-2 RSA и 2048 bits. Далее жмём «Save private key» и получаем ключ в формате ppk, пригодный для скармливания обычному Putty в разделе Сonnection —> SSH —> Auth

Усиленные настройки безопасности

Рекомендую следующие настройки

nano /etc/ssh/sshd_config

#Запрещаем вход под root
PermitRootLogin no
# Меняем порт по умолчанию - может помочь против поверхностного сканирования портов
Port 17854
# Указываем на каком IP слушать порт
ListenAddress 192.168.0.1
# Запрещаем вход по паролям, усложняет брутфорс
PasswordAuthentication no
# Запрещаем пустые пароли
PermitEmptyPasswords no
# Только root может авторизоваться по ssh
AllowUsers root
# Меняем стандартный порт, но мне больше нравится реализовывать это через port mapping
# Port 4422

Персональный межсетевой экран рабочей станции[править]

Проверим состояниеправить

Вариант 1 (рекомендуется в целях безопасности)править

sudo iptables-save

При отсутствии правил вывод будет примерно таким:

*filter
:INPUT ACCEPT 
:FORWARD ACCEPT 
:OUTPUT ACCEPT 
COMMIT

Если вывод отличается, то сброс настроек можно сделать командой

sudo iptables-restore < empty.rules

где empty.rules — текстовый файл, содержащий 5 строк, как в выводе выше.

Вариант 2править

sudo iptables -nvL

При отсутствии правил вывод будет примерно таким:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0K packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

чтобы сбросить:

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -F
sudo iptables -X

Установим политики по умолчаниюправить

Для цепочки «проходящая» устанавливаем блокировку, для цепочки «выходная» устанавливаем разрешение, для цепочки «входная» устанавливаем блокировку. Далее будут правила, определяющие исключения для этих политик.

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

Исключения (для входящих соединений)править

1. Разрешим трафик, принадлежащий установленным соединениям

sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

2. Разрешим локальный интерфейс

sudo iptables -A INPUT -i lo -j ACCEPT

3. Запретим «неправильный» трафик (не открывающий новое соединение и не принадлежащий никакому установленному соединению).

sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

4. Разрешим новые ICMP запросы (ping). Остальные запросы ping будут обработаны первым правилом.

sudo iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

5. Разрешим новые входные соединения по портам

Если установлен веб-сервер

sudo iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW --dport 80 -j ACCEPT

Если необходима связь по SSH

sudo iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW --dport 22 -j ACCEPT

Если установлен DNS-сервер

sudo iptables -A INPUT -p udp -m conntrack --ctstate NEW --dport 53 -j ACCEPT

есть возможность объединить несколько правил (для увеличения производительности):

sudo iptables -A INPUT -p tcp -m multiport --dports 21,22,6881:6882 -j ACCEPT

6. Все новые входящие соединения, не обработанные предыдущими цепочками, запретим.

sudo iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset 
sudo iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
sudo iptables -A INPUT -j REJECT --reject-with icmp-proto-unreach

Сохраним правилаправить

RedHat Linuxправить

sudo /sbin/service iptables save

добавим демон для применения правил при загрузке компьютера

DAEMONS=(... iptables network ...)

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
sudo iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

sudo iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset 
sudo iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
sudo iptables -A INPUT -j REJECT --reject-with icmp-proto-unreach

How to Set Up Port Forwarding in UFW

What if you use UFW on your router, and you want to route packets such as HTTP requests to internal LAN hosts? In this case, you need to set up port forwarding. Edit the file.

sudo nano /etc/ufw/before.rules

Then add the following lines in the NAT table, above the COMMIT line. Replace 12.34.56.78 with your router’s public IP address.

:PREROUTING ACCEPT 
# forward 12.34.56.78  port 80 to 192.168.1.100:80
# forward 12.34.56.78  port 443 to 192.168.1.100:443
-A PREROUTING -i eth0 -d 12.34.56.78  -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
-A PREROUTING -i eth0 -d 12.34.56.78  -p tcp --dport 443 -j DNAT --to-destination 192.168.1.100:443

This tells UFW to use the DNAT target to forward HTTP and HTTPS requests to the 192.168.100 host in the local network.

Hint: DNAT (Destination NAT) changes the destination IP address. A typical example is port forwarding. SNAT (Source NAT) changes the source IP address. A typical example is when a host behind a Wifi router wants to browse the Internet.

Flush the NAT table rules.

sudo iptables -F -t nat

Restart UFW to process all of the NAT rules.

sudo systemctl restart ufw

You also need to enable IP forwarding in file as mentioned above.

If the 192.168.1.100 host is also running UFW, then you need to allow port 80 and 443 in UFW.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Note that the 192.168.1.100 LAN host must use the UFW router as the gateway. If it’s using another IP address as the gateway, port forwarding won’t work.

Шаги настройки

Настройка, как и установка, очень проста и быстра и занимает всего два шага. Мы объясним это простым способом, чтобы сделать его менее утомительным.

шаг 1

Поскольку UFW установлен, самое время активировать брандмауэр. Для этого откройте приложение, которое находится в меню приложений.

шаг 2

После открытия приложения мы видим, что оно отключено. Чтобы активировать его, перейдите к доступным параметрам, и вы увидите, что есть один, который называется «Положение дел» и что у нее есть кнопка с «МЫ» и «ВЫКЛ».

После его активации вы сможете активировать один из трех предварительно установленных профилей безопасности. Посмотрим, что это за три профиля.

Главная

Это предустановленный профиль, который активирует UFW при нажатии «ВКЛ». Этот профиль имеет стандартные правила безопасности и дает пользователям больше свободы при открытии портов.

общественности

Это предустановленный профиль на строже доступен для системы межсетевого экрана UFW. Имеет довольно строгие фильтрующие характеристики. Этот профиль идеально подходит для пользователей портативных компьютеров, которые склонны подключаться к общедоступным сетям или сетям с высоким трафиком.

офис

Профиль безопасности Офис для UFW очень похож на «Дом», имеет стандартную безопасность и подходит для установки особых правил на рабочем месте.

Настройка firewall в Linux Ubuntu

Firewall, по-русски называемый межсетевым экраном или брандмауэром, занимает важное место в защите системы Linux. Файрвол Linux это пропускной пункт между внутренней и внешней сетью, в котором происходит контроль и управление входящим и исходящим сетевым трафиком

Правила контроля задаются пользователем в интерфейсе межсетевого экрана: здесь он решает, какие порты открыть и какие соединения разрешить.

Разработчики программ для Linux всерьез озабочены защитой операционной системы от несанкционированных вторжений: для скачивания и установки в дистрибутивы Linux доступны десятки брандмауэров с открытым исходным кодом. Но далеко ходить не нужно: встроенная изначально во всех дистрибутивах Linux файрвол-утилита Iptables отлично минимизирует риск хакерских атак и заражения вирусами. При попытке установления соединений с ПК, утилита обращается к своим правилам для проверки того, является ли соединение разрешенным или его следует запретить. Если по соединению нет информации – оно выполняется по умолчанию. Кроме этого, Iptables поможет выполнить резервное копирование и восстановление с файлами.

Если вдруг файрвола Iptables не обнаружилось в вашем дистрибутиве, или вы хотите обновить утилиту, введите следующую команду:

Iptables – первая линия системы безопасности Linux и любимец сетевых администраторов. Настраивается данный Linux файрвол через командную строку при помощи установленных команд. Проблема в том, что начинающему юзеру процесс контроля за поступлением и отправлением трафика бесчисленными командами iptables может показаться слишком сложным. К счастью, существует интерфейс, специально разработанный для упрощения процесса настройки утилиты Iptables: UFW (Uncomplicated Firewall или по-русски «простой брандмауэр»). Кстати, в Linux Ubuntu UFW встроен также по умолчанию. А если вы его удалили, то можете заново загрузить, введя в консоли:

Мы пошагово показываем настройку Uncomplicated Firewall Linux в нашем видео Как настроить фаервол в Ubuntu.

Расширенное использование UFW: лучшие команды брандмауэра UFW

sudo ufw enable — активировать UFW для применения внесённых изменений.
sudo ufw disable — деактивировать UFW.
sudo ufw reset — Отключение или сброс UFW. Если вы уже настроили правила UFW, но решите начать заново, вы можете использовать эту команду. Эта команда отключит UFW и удалит все ранее заданные правила, кроме правил по умолчанию. Правила по умолчанию (запрет входящих соединений и разрешение исходящих.) задаются командами:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Посмотреть статус сетевой защиты — з варианта:

sudo ufw status
sudo ufw status verbose
sudo ufw status numbered

Status: active

To                         Action      From
--                         ------      ----
22                         LIMIT       Anywhere
443                        ALLOW       Anywhere
80                         ALLOW       Anywhere
22 (v6)                    LIMIT       Anywhere (v6)
443 (v6)                   ALLOW       Anywhere (v6)
80 (v6)                    ALLOW       Anywhere (v6)

Возможно разрешить доступ для определенных хостов или сетей. Следующий пример показывает как разрешить доступ хосту с ip адресом 192.168.0.2 на хост с любым ip по протоколу SOCKS. Если заменить 192.168.0.2 на 192.168.0.0/24 то мы разрешим протокол для любого хоста этой локальной сети. Добавление опции –dry-run команде ufw выведет список правил, но не применит их.
```
sudo ufw --dry-run allow proto tcp from 192.168.0.2 to any port 1080
```
```
sudo ufw allow proto tcp from 192.168.0.2 to any port 1080
```
Правила могут быть добавлены с использованием нумерованного формата:
```
sudo ufw insert 1 allow proto tcp from 37.73.96.0/20 to any port 1080
```
Для удаления правила используйте delete:
```
sudo ufw delete deny proto tcp from any to any port 1080
```

В дистрибутивах Linux на базе Debian, которые поставляются с брандмауэром приложений UFW, вы можете блокировать сообщения ICMP, добавив следующее правило в файл /etc/ufw/before.rules, как показано в приведенном ниже отрывке кода.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

UFW Политики по умолчанию

По умолчанию UFW блокирует все входящие подключения и разрешает все исходящие подключения. Это означает, что любой, кто пытается получить доступ к вашему серверу, не сможет подключиться, если вы не откроете порт специально, а все приложения и службы, работающие на вашем сервере, смогут получить доступ к внешнему миру.

Политики по умолчанию определены в и могут быть изменены с помощью команда.

Политики брандмауэра являются основой для создания более подробных и определенных пользователем правил. В большинстве случаев исходные политики UFW по умолчанию являются хорошей отправной точкой.

How to Block BitTorrent Traffic on Cloud Servers

If you run a server on the cloud, you probably want to block BitTorrent traffic on the server, because if you or someone else accidentally download illegal content (Movies, TV Shows) via BitTorrent and you are caught, your hosting provider will likely suspend your account.

Modern BitTorrent clients encrypt traffic between peers, so it’s not easy to differentiate BitTorrent traffic from other types of traffic. While there is no perfect way to block BitTorrent traffic, here is a simple solution.

Block outgoing traffic by default.

sudo ufw default deny outgoing

Then allow specific outgoing ports. For example, you need to allow the DNS port.

sudo ufw allow out 53

And you need to allow port 80 and 443 to update your software packages from the repository.

sudo ufw allow out 80/tcp

sudo ufw allow out 443/tcp

If this is your mail server, you need to allow port 25.

sudo ufw allow out 25/tcp

Restart UFW for the changes to take effect.

sudo systemctl restart ufw

Although this is not a perfect solution, because some users might configure their BitTorrent clients to use port 80 or 443, in reality, this situation is quite rare. Most users just use the default settings and my BitTorrent client on the server immediately stopped all downloading and uploading when I enforce the above rules in the firewall. If it doesn’t stop, restart your BitTorrent client or your server.

Как сменить DNS в Linux

После того, как вы сменили в Linux IP-адрес, вам нужно произвести замену DNS. О том, что такое DNS, и зачем его менять, можно прочесть в нашей статье или посмотреть видео на нашем youtube-канале Зачем менять DNS. Если кратко – DNS-сервер, к которому подключается ваш компьютер, раскрывает ваше географическое положение, что может привести к блокировкам по геоданным, либо из-за несоответствия IP-данных и DNS-адресов.

Сменить DNS-адрес в Linux системе можно двумя способами. К примеру, вы можете сделать это через интерфейс сетевых подключений: кликайте мышкой на значок сети, выбирайте подключенную сеть и открывайте параметры соединения.

В Настройках сети переходите во вкладку “IPv4”. Далее выбирайте автоматический метод и в поле DNS прописывайте адрес сервера. Адреса быстрых DNS-серверов вы можете найти в нашем блоге в статье Рекомендуемые публичные DNS сервера. Несколько адресов прописываются через запятую.

Если этот способ не сработал, попробуйте сменить DNS через терминал Linux. Как это сделать, мы пошагово рассказываем в видеоролике на нашем канале Как настроить DNS в Linux.

Шаг 3 — разрешить SSH соединение

Если мы теперь включим наш брандмауэр UFW, он будет отклонять все входящие соединения. Это означает, что если мы хотим, чтобы сервер отвечал на эти типы запросов, нам нужно будет создать правила, которые явно разрешают допустимые входящие соединения, такие как SSH или HTTP-соединения. Если вы используете облачный сервер, вам может потребоваться разрешить входящие соединения SSH, чтобы подключиться к серверу и управлять им.

Чтобы настроить сервер для разрешения входящих подключений SSH, вы можете использовать следующую команду:

Это создаст правила брандмауэра, которые разрешают портыДля всех подключений это порт, по которому демон SSH прослушивает по умолчанию. Какой порт знает UFWСмысл, потому что это вПеречислено как 。

Однако на самом деле мы можем написать эквивалентные правила, указав порт вместо имени службы. Например, эта команда аналогична приведенной выше команде:

Если вы настраиваете демон SSH для использования другого порта, вы должны указать соответствующий порт. Например, если сервер SSH прослушивает портВы можете использовать эту команду для разрешения подключений к этому порту:

Теперь, когда ваш брандмауэр настроен на разрешение входящих SSH-соединений, мы можем включить его.