Чтобы настроить простой межсетевой экран, не обязательно разбираться с тонкостями работы netfilter или изучать синтаксис iptables. Можно воспользоваться более простой в использовании конфигурационной утилитой ufw, (если пакет не установлен, поставьте его с помощью команды sudo apt-get install ufw).Программа очень проста в использовании, для включения межсетевого экрана достаточно отдать команду:
sudo ufw enableДля его отключения:
sudo ufw disableТакже ufw позволяет разрешить/запретить входящие соединения при помощи команд:
sudo ufw default allow или sudo ufw default denyОбратите внимание, что речь здесь идёт именно о соединениях, а не о входящих пакетах вообще — после команды sudo ufw default deny инициировать входящее соединение с вашей машиной станет невозможно, при этом входящие пакеты для соединений, инициированных вами, приниматься будут. Например, будет работать "аська" или торрент-клиент, но на машину нельзя будет "зайти" по telnet или http. Кроме того, ufw позволяет добавлять собственные правила фильтрации трафика, например команда:sudo ufw allow from 192.168.0.0/24открывает полный доступ к вашей машине из сети 192.168.0.0/24 (обычно подобные адреса используются для организации домашней сети, хотя у вас они могут быть другими). Запретить доступ, скажем, к 80-му tcp-порту (его слушает веб-сервер) можно следующим образом:sudo ufw deny 80/tcpМожно разрешать или запрещать доступ к портам для конкретного диапазона ip-адресов, работать с группой портов, удалять созданные правила и так далее. Притом все изменения применяются немедленно и сохраняются после перезагрузки компьютера. Для получения подробной информации по синтаксису ufw наберите команду:man ufwВ принципе, особой необходимости изучать этот мануал нет: для тех, кто привык работать с графическим интерфейсом, есть пакет gufw — графический фронтед к программе ufw. Установите его, после чего запустите [Главное меню/Система/Администрирование/Настройка файрвола] (окно программы показано на рисунке 1). Как видно из рисунка — никаких сложностей, любой, кто привык настраивать межсетевой экран Windows, без особого труда справится с задачей. Вообще, по своим возможностям ufw напоминает встроенный брандмауэр Windows, но при этом следует помнить важное отличие: ufw/gufw — не сам межсетевой экран, а всего лишь средства для его настройки. Средства простые в использовании, но ограниченные, позволяющие воспользоваться только частью функционала netfilter/iptables. Для более тонкой настройки вам придется воспользоваться утилитой iptables.Политика настройкиКак настроить файрвол через ufw на домашней машине? Рекомендуем заблокировать входящие соединения и по мере необходимости добавлять разрешающие правила. Какие? Это зависит от сервисов, запущенных на компьютере. Кстати о сервисах, часто бывает нужно узнать, какие порты "слушает" ваш компьютер. Можно проделать при помощи команды netstat. Более того, если запустить sudo netstat -ap, можно узнать не только какие порты слушаются, но и какие программы это делают (вывод команды показан на рисунке 2). Есть еще один вариант — разрешить все входящие соединения и добавить дополнительные запрещающие правила. Сделать это при помощи gufw не сложнее, чем настроить брэндмауэр Windows XP. О вопросах тонкой настройки netfilter/iptables мы поговорим в следующих статьях, межсетевой экран GNI/Linux может многое, но его возможности сложно описать в короткой заметке.Автор: Евгений Крестников