以前iptableを使ったことがあるのですが、使いづらく、ufwのほうが楽だと思いました。
ステータスの確認
初めてなので、非アクティブになっています。
$ sudo ufw status
状態: 非アクティブ
有効にする設定
$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
ファイアウォールはアクティブかつシステムの起動時に有効化されます。
$ sudo ufw status
Status: active
無効にする設定
$ sudo ufw disable
ファイアウォールを無効にし、システム起動時にも無効にします
$ sudo ufw status
状態: 非アクティブ
すでに用意されているルールが2つあります。
$ cd /etc/ufw/applications.d
$ ls
apache2.2-common openssh-server
何が書かれているのか見てみましょう。
$ ls
apache2.2-common openssh-server
$ cat apache2.2-common
[Apache]
title=Web Server
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80/tcp
[Apache Secure]
title=Web Server (HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=443/tcp
[Apache Full]
title=Web Server (HTTP,HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80,443/tcp
ルールの設定
ためしにルールを設定を設定してみます。
ルールの設定には、 sudo ufw allow ARGS を利用します。
ARGSは、上記のファイルの[]かっこ内に定義した名称です。
% sudo ufw allow "Apache Full"
ルールを追加しました
% sudo ufw allow "OpenSSH"
ルールを追加しました
$ sudo ufw status
Status: active
To Action From
-- ------ ----
Apache Full ALLOW Anywhere
OpenSSH ALLOW Anywhere
追加した定義の削除
削除するには、ufw delete allow RULE を用います。
$ sudo ufw delete allow "Apache Full"
ルールを削除しました
$ sudo ufw status
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
特定のIPとPortを追加する場合
あるIP:Portからのアクセスを許容することもできます。
$ sudo ufw allow from 10.20.30.40 to any port 2011
ルールを追加しました
$ sudo ufw status
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
2011 ALLOW 10.20.30.40
追加した特定のIPとPortを削除する場合
$ sudo ufw delete allow from 10.20.30.40 to any port 2011
ルールを削除しました
$ sudo ufw status
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
コマンドがわからなくなったらヘルプを見ましょう!
$ sudo ufw help