LinuxでGUFWを使用してファイアウォールを設定する方法

UFW(Uncomplicated Firewall)は、ほとんどのユーザーにとって豊富なオプションを備えた使いやすいファイアウォールユーティリティです。 これはiptables用のインターフェースです。これは、ネットワーク用のルールを設定するための古典的な(そして慣れるのが難しい)方法です。

あなたは本当にデスクトップ用のファイアウォールが必要ですか?

ファイアウォールは、ネットワーク上の送受信トラフィックを規制する方法です。 適切に設定されたファイアウォールは、サーバーのセキュリティにとって非常に重要です。

しかし、通常のデスクトップユーザーはどうでしょうか。 Linuxシステムにファイアウォールが必要ですか? ほとんどの場合、インターネットサービスプロバイダ(ISP)にリンクされているルーターを介してインターネットに接続しています。 一部のルーターには既にファイアウォールが組み込まれています。 それに加えて、あなたの実際のシステムはNATの背後に隠れています。 言い換えれば、あなたがあなたのホームネットワークにいるとき、あなたはおそらくセキュリティ層を持っています。

システムにファイアウォールを使用する必要があることがわかったので、Ubuntuや他のLinuxディストリビューションにファイアウォールを簡単にインストールして設定する方法を見てみましょう。

GUFWでファイアウォールを設定する

GUFWは、Uncomplicated Firewall(UFW)を管理するためのグラフィカルユーティリティです。 このガイドでは、 GUFWを使用してニーズに合ったファイアウォールを構成し、さまざまなモードとルールについて説明します。

しかし、最初に、GUFWのインストール方法を見てみましょう。

Ubuntuや他のLinuxへのGUFWのインストール

GUFWはすべての主要なLinuxディストリビューションで利用可能です。 あなたのディストリビューションのパッケージマネージャを使ってGUFWをインストールすることをお勧めします。

Ubuntuを使用している場合は、ユニバースリポジトリが有効になっていることを確認してください。 これを行うには、端末を開き(デフォルトのホットキー CTRL + ALT + T)、次のように入力します。

 sudo add-apt-repository universe

sudo apt update -y

これで、次のコマンドでGUFWをインストールできます。

 sudo apt install gufw -y 

それでおしまい! 端末に触れたくない場合は、Software Centerからもインストールできます。

Software Centerを開いてgufwを検索し、検索結果をクリックしてください。

ソフトウェアセンターでgufwを検索してください。

さあ、 インストールをクリックしてください。

ソフトウェアセンターからGUFWをインストールする

gufwを開くには、あなたのメニューに行きそれを検索してください。

GUFWを起動する

これでファイアウォールアプリケーションが開き、「 はじめに 」のセクションに迎えられます。

GUFWインターフェースとウェルカム画面

ファイアウォールをオンにする

このメニューについて最初に注意することは、 ステータスの切り替えです。 このボタンを押すと、ファイアウォールをオン/オフ( デフォルト:オフ)にして、設定(ポリシーとルール)を適用します。

ファイアウォールをオンにする

オンにすると、盾のアイコンが灰色から色付きに変わります。 この記事で後述するように、色はあなたの方針を反映しています。 これにより、ファイアウォールはシステムの起動時に自動的に起動します。

注: ホームはデフォルトでオフになります。 他のプロファイル(次のセクションを参照)がオンになります。

GUFWとそのプロファイルについて

メニューからわかるように、さまざまなプロファイルを選択できます。 各プロファイルには異なるデフォルトポリシーが付属しています 。 これが意味するものはそれらが着信および発信トラフィックのための異なる動作を提供することです。

デフォルトのプロファイルは次のとおりです

  • ホーム
  • パブリック
  • 事務所

現在のプロファイルをクリックして別のプロファイルを選択できます( デフォルト:Home )。

そのうちの1つを選択すると、デフォルトの動作が変更されます。 さらに下に進むと、着信と発信のトラフィック設定を変更できます。

デフォルトでは、 自宅オフィスの両方で、これらのポリシーは受信拒否送信許可です。 これにより、何も入れずにhttp / httpsなどのサービスを使用できるようになります(sshなど)。

公衆の場合、それらは着信拒否し発信許可します。 拒否は拒否と同様に、サービスを許可しませんが、(単に接続を切断/停止するのではなく)マシンにアクセスしようとしたユーザー/サービスにフィードバックを送信します。

注意

あなたが普通のデスクトップユーザーであれば、デフォルトのプロファイルを使い続けることができます。 ネットワークを変更した場合は、手動でプロファイルを変更する必要があります。

あなたが旅行している場合は、パブリックプロファイルにファイアウォールを設定し、ここから転送、ファイアウォールは再起動するたびにパブリックモードに設定されます。

ファイアウォールの規則とポリシーを設定する(上級者向け)

すべてのプロファイルは同じ規則を使用します。規則が構築するポリシーのみが異なります。 ポリシーの動作( 受信/送信 )を変更すると、選択したプロファイルに変更が適用されます。

ポリシーが変更できるのは、ファイアウォールがアクティブになっている間(ステータス:ON)だけです。

プロファイルは、[ 設定 ]メニューから簡単に追加、削除、名前変更できます。

設定

トップバーで、 編集をクリックします。 設定を選択します。

GUFWで設定メニューを開く

これでPreferencesメニューが開きます。

あなたがここに持っているオプションを調べてみましょう!

ロギングとは、ユーザーが考えていることとまったく同じです。ファイアウォールはログファイルにどのくらいの情報を書き留めますか。

Gufwの下のオプションは、 一目瞭然です。

プロファイルの下のセクションには、 プロファイルを追加、削除、名前変更できる場所があります。 プロファイルをダブルクリックすると、 名前変更できます。 Enterキーを押すとこの処理が完了し、 Escキーを押すと名前の変更が取り消されます

新しいプロファイルを追加するには、プロファイルのリストの下にある+をクリックしてください。 これで新しいプロフィールが追加されます。 ただし、それについては通知されません。 作成したプロファイルを表示するには、リストを下にスクロールする必要があります(マウスホイールまたはリストの右側にあるスクロールバーを使用して)。

注: 新しく追加されたプロファイルは着信拒否し発信トラフィックを許可します。

プロファイルをクリックすると、そのプロファイルが強調表示されます。 -ボタンを押すと、ハイライトされたプロファイルが削除されます。

注: 現在選択されているプロファイルの名前変更や削除はできません

今すぐ閉じるをクリックすることができます 。 次に、さまざまなルールを設定します

規則

メインメニューに戻ると、画面中央のどこかに異なるタブ([ ホーム]、[ルール]、[レポート]、[ログ])を選択できます。 [ ホーム ]タブについては既に説明しました(アプリを起動したときに表示されるクイックガイドです)。

次に進み、[ Rules]を選択します。

これがファイアウォール設定の大部分、ネットワーキングルールになります。 あなたはUFWが基づいている概念を理解する必要があります。 それはトラフィックを許可、拒否、拒否制限することです。

注: UFWでは、規則は上から下に適用されます(上の規則が最初に有効になり、その上に次の規則が追加されます)。

許可、拒否、拒否、制限:これらは、ファイアウォールに追加する規則に使用できるポリシーです。

それぞれの意味を正確に見てみましょう。

  • 許可:ポートへのエントリトラフィックを許可します
  • 拒否:ポートへのエントリトラフィックを拒否します。
  • 拒否:ポートへのエントリトラフィックをすべて拒否し、拒否について要求者に通知します。
  • 制限:過去30秒間にIPアドレスが6つ以上の接続を開始しようとした場合、エントリトラフィックを拒否します。

ルールを追加する

GUFWでルールを追加する方法は3つあります。 次のセクションでは、3つの方法すべてを紹介します。

注: ルールを追加した後、それらの順序を変更するのは非常に面倒なプロセスであり、ルールを削除して正しい順序で追加する方が簡単です。

しかし、最初に、 Rulesタブの下部にある+をクリックしてください。

これでポップアップメニューが表示されます( ファイアウォールルールの追加 )。

このメニューの一番上には、ルールを追加できる3つの方法があります。 事前設定済み、単純、詳細の各方法について説明します。 各セクションをクリックして展開します。

事前設定ルール

これはルールを追加する最も初心者に優しい方法です。

最初のステップは(上で詳述されたものから)ルールのためのポリシーを選択することです。

次のステップは、ルールが影響を与える方向( Incoming、Outgoing、Both )を選択することです。

カテゴリサブカテゴリの選択肢はたくさんあります。 これらはあなたが選択できるアプリケーションを絞り込みます

アプリケーションを選択すると、その特定のアプリケーションに必要なものに基づいてポートのセットが設定されます。 これは、複数のポートで動作する可能性があるアプリケーションや、手書きのポート番号用のルールを手動で作成することに煩わされたくない場合に特に便利です。

ルールをさらにカスタマイズしたい場合は、 オレンジ色の矢印アイコンをクリックしてください。 これで現在の設定(ポートのあるアプリケーションなど)がコピーされ、 詳細ルールメニューに移動します。 この記事の後半でそれについて説明します。

この例では、私はOffice DatabaseアプリのMySQLを選びました。 このアプリで使用されているポートへのすべての着信トラフィックを拒否します。

ルールを作成するには、 追加をクリックしてください

これでポップアップを閉じることができます(他のルールを追加したくない場合)。 ルールが正常に追加されたことがわかります。

ポートはGUFWによって追加され、ルールには自動的に番号が付けられています。 あなたはなぜ1つではなく2つの新しい規則があるのか​​疑問に思うかもしれません。 その答えは、UFWが自動的に標準IPルールとIPv6ルールの両方を追加することです。

単純な規則

事前設定されたルールを設定するのはいいことですが、ルールを追加するもう1つの簡単な方法があります。 もう一度+アイコンをクリックして、 シンプルタブに移動します。

ここでの選択肢は簡単です。 ルールの名前を入力して、ポリシーと方向を選択します。 SSHの着信を拒否するためのルールを追加します。

選択できるプロトコルは、 TCP、UDP、またはBothです。

トラフィックを管理したいポートを入力してください。 ポート番号 (例:sshの場合は22)、両端を含む::( コロン )(例:81:89)、またはサービス名 (例:ssh)でポート範囲を入力できます。 この例では、 sshを使用し、TCPとUDPの両方を選択します。 以前と同様に、[ 追加 ]をクリックしてルールの作成を完了します。 赤い矢印アイコンをクリックして、設定を[ 詳細ルール作成]メニューにコピーできます。

[ 閉じる]を選択すると、新しいルールが(対応するIPv6ルールと共に)追加されたことがわかります。

高度なルール

特定のIPアドレスとサブネットからのトラフィックを処理し、さまざまなインターフェイスをターゲットにするための、より高度なルールの設定方法について説明します。

もう一度[ ルール ]メニューを開きましょう。 詳細設定タブを選択します。

これまでに、基本的なオプション( Name、Policy、Direction、Protocol、Port)に精通しているはずです。 これらは以前と同じです。

注: 受信ポートと要求ポートの両方を選択できます。

何が変わったかというと、今、あなたは私たちのルールをさらに特殊化するための追加のオプションがあります。

前述したように、ルールは自動的にGUFWによって番号付けされます。 詳細ルールでは、[ 挿入 ]オプションに数字を入力してルールの位置を指定します。

注: 位置0を入力すると、既存のすべての規則の後に規則が追加されます。

インターフェースあなたのマシンで利用可能なネットワークインターフェースを選択しましょう。 そうすることによって、ルールはその特定のインターフェースへの、そしてそこからのトラフィックにのみ影響を与えるでしょう。

変更を正確に記録する:何が記録されるのか、何が記録されないのか。

要求側と受信側のポート/サービス( FromTo )にIPを選択することもできます。

IPアドレス (例:192.168.0.102)またはサブネット全体(例:192.168.0.0から192.168.0.255の範囲のIPv4アドレスの場合は192.168.0.0/24)を指定するだけです。

この例では、サブネット上のシステムから現在実行しているマシンの特定のネットワークインターフェイスへのすべての着信TCP SSH要求を許可するようにルールを設定します。 私が設定した他のルールの上に有効になるように、すべての標準IPルールの後にルールを追加します。

メニューを閉じます。

この規則は、他の標準IP規則の後に正常に追加されました。

ルール編集

ルールリスト内のルールをクリックすると強調表示されます。 これで、下部にある小さな歯車のアイコンをクリックすると 、強調表示されたルールを編集できます

これにより、前のセクションで説明した[ 詳細設定 ]メニューのようメニューが表示されます。

注: ルールのオプションを編集すると、それはリストの末尾に移動します。

適用を選択してルールを変更してリストの末尾に移動するか、 キャンセルをクリックします。

ルールを削除

ルールを選択(強調表示)した後、 -アイコンをクリックすることもできます。

レポート

[ レポート ]タブをクリックします。 ここでは、現在実行中のサービス(プロトコル、ポート、アドレス、アプリケーション名など)に関する情報を確認できます。 ここから、 リスニングレポートを一時停止(アイコンを一時停止)またはリスニングレポート から強調表示されたサービスからルールを作成(+アイコン)できます。

ログ

ログタブを選択します。 ここで、エラーが疑わしいルールであることを確認する必要があります。 特定のルールを追加できない理由がわからない場合に、これらがどのように見えるかを示すために、無効なルールをいくつか作成してみました。 下部のセクションには、2つのアイコンがあります。 最初のアイコンをクリックするとログがクリップボードにコピーされ2番目のアイコン クリックするとログが消去されます

まとめ

適切に設定されたファイアウォールを持つことはあなたのUbuntuエクスペリエンスに大いに貢献することができ、あなたのマシンをより安全に使用させ、あなたが送受信トラフィックを完全に制御することを可能にします。

GUFWのさまざまな使用方法とモードについて説明し 、さまざまなルールを設定してニーズに合わせてファイアウォールを構成する方法について説明しました。 このガイドがお役に立てば幸いです。

あなたが初心者であれば、これは包括的なガイドになるはずです。 たとえあなたがLinuxの世界にもっと精通していて、多分あなたの足がサーバーとネットワーキングに濡れていても、私はあなたが何か新しいことを学んだことを願っています。

この記事があなたを助けてくれたのであれば、私たちにコメントで知らせてください、そしてなぜあなたはファイアウォールがあなたのシステムを改善すると決めたのですか!

推奨されます

オンラインで息を飲む人々のためのクラウドフォーカスのLinuxディストリビューション
2019
おもしろいLinuxのmanページで笑いましょう
2019
小学校OS Freyaのドックから2つのGoogle Chromeのアイコンを取り除く
2019