ตัวอย่างการใช้งาน ufw บน Ubuntu ขั้นพื้นฐาน

จัดทำเมื่อ 06-09-2009
โดย อดิศร ขาวสังข์

บทนำ

ufw (Uncomplicated Firewall) เป็นเครื่องมีสำหรับการคอนฟิก default firewall บน Ubuntu ซึ่งถูกพัฒนาขึ้นมาเพื่อให้สามารถคอนฟิกใช้งาน iptables firewall ได้ง่ายขึ้น โดย ufw เป็น user friendly ในการสร้าง host-based firewall ทั้งแบบ IPv4 และ IPv6

โดย default แล้ว ufw จะถูก disable ไว้ ทั้งนี้ ufw ไม่มีเป้าหมายให้เป็น complete firewall functionality ผ่าน command line interface แต่พัฒนาขั้นเพื่อให้สามารถเพิ่มหรือลบกฎของ Firewall ที่ง่ายขึ้น โดยในปัจจุบันสามารถใช้งานเป็น host-based firewall เป็นหลัก

ตัวอย่างการใช้งาน

ขั้นแรกต้องทำการ enable ตัว ufw ด้วยคำสั่ง
sudo ufw enable
เราสามารถเปิดพอร์ต ssh ด้วยคำสั่ง
sudo ufw allow 22
ซึ่งมีค่าเท่ากับ :
sudo ufw allow proto tcp from any to any port 22
สามารถแทรกตำแหน่งของกฎด้วยการใช้ตัวเลขระบุเป็นตำแหน่งได้เช่น
sudo ufw insert 1 allow 80
สามารถปิดพอร์ตที่ได้เปิดเอาไว้ด้วยคำสั่ง
sudo ufw deny 22
สามารถลบกฎที่ได้สร้างไว้ด้วยคำสั่ง
sudo ufw delete deny 22 หรือ
sudo ufw delete allow 22
สามารถระบุ IP Address ต้นทางและปลายทางของกฎได้ด้วยคำสั่ง:
sudo ufw allow proto tcp from 192.168.0.2 to any port 22
สามารถกำหนด IP Address เป็น subnet ได้เ่่่ช่น
sudo ufw allow proto tcp from 192.168.1.0/24 to any port 22
เราสามารถ disable ufw ด้วยคำสั่ง
sudo ufw disable
สามารถดูสถานะของ ufw ด้วยคำสั่ง
sudo ufw status (จะแสดงเฉพาะ user rule เท่านั้น)
สามารถดูสถานะที่ีมีรายละเอียดเพิ่มเติมด้วยคำสั่ง
sudo ufw status verbose (จะแสดงเฉพาะ user rule เท่านั้น)

สิ่งที่ควรรู้เพิ่มเติม

เมื่อเราใ้้ช้ึคำสั่ง ufw enable แล้วโปรแกรมจะสร้างกฎพื้นฐานที่จำเป็นให้กับเครื่องโดยอัตโนมัติโดยสามารถดูได้จากคำสั่ง iptables -L ซึ่งจะได้ค่ากฎต่าง ๆ ดังนี้

root@www:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ufw-before-logging-input all -- anywhere             anywhere
ufw-before-input all -- anywhere             anywhere
ufw-after-input all -- anywhere             anywhere
ufw-after-logging-input all -- anywhere             anywhere
ufw-reject-input all -- anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ufw-before-logging-forward all -- anywhere             anywhere
ufw-before-forward all -- anywhere             anywhere
ufw-after-forward all -- anywhere             anywhere
ufw-after-logging-forward all -- anywhere             anywhere
ufw-reject-forward all -- anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ufw-before-logging-output all -- anywhere             anywhere
ufw-before-output all -- anywhere             anywhere
ufw-after-output all -- anywhere             anywhere
ufw-after-logging-output all -- anywhere             anywhere
ufw-reject-output all -- anywhere             anywhere

Chain ufw-after-forward (1 references)
target     prot opt source               destination

Chain ufw-after-input (1 references)
target     prot opt source               destination
RETURN     udp -- anywhere             anywhere            udp dpt:netbios-ns
RETURN     udp -- anywhere             anywhere            udp dpt:netbios-dgm
RETURN     tcp -- anywhere             anywhere            tcp dpt:netbios-ssn
RETURN     tcp -- anywhere             anywhere            tcp dpt:microsoft-ds
RETURN     udp -- anywhere             anywhere            udp dpt:bootps
RETURN     udp -- anywhere             anywhere            udp dpt:bootpc
RETURN     all -- anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination

Chain ufw-after-output (1 references)
target     prot opt source               destination

Chain ufw-before-forward (1 references)
target     prot opt source               destination
ufw-user-forward all -- anywhere             anywhere

Chain ufw-before-input (1 references)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere             anywhere            state INVALID
DROP       all -- anywhere             anywhere            state INVALID
ACCEPT     icmp -- anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp -- anywhere             anywhere            icmp source-quench
ACCEPT     icmp -- anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp -- anywhere             anywhere            icmp parameter-problem
ACCEPT     icmp -- anywhere             anywhere            icmp echo-request
ACCEPT    udp -- anywhere             anywhere            udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere             anywhere
ACCEPT     all -- BASE-ADDRESS.MCAST.NET/4 anywhere
ACCEPT     all -- anywhere             BASE-ADDRESS.MCAST.NET/4
ufw-user-input all -- anywhere             anywhere

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination

Chain ufw-before-output (1 references)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     tcp -- anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     udp -- anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ufw-user-output all -- anywhere             anywhere

Chain ufw-logging-allow (0 references)
target     prot opt source               destination

Chain ufw-logging-deny (2 references)
target     prot opt source               destination

Chain ufw-not-local (1 references)
target     prot opt source               destination
RETURN     all -- anywhere             anywhere            ADDRTYPE match dst-type LOCAL
RETURN     all -- anywhere             anywhere            ADDRTYPE match dst-type MULTICAST
RETURN     all -- anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- anywhere             anywhere            limit: avg 3/min burst 10
DROP       all -- anywhere             anywhere

Chain ufw-reject-forward (1 references)
target     prot opt source               destination

Chain ufw-reject-input (1 references)
target     prot opt source               destination

Chain ufw-reject-output (1 references)
target     prot opt source               destination

Chain ufw-user-forward (1 references)
target     prot opt source               destination

Chain ufw-user-limit (0 references)
target     prot opt source               destination
LOG        all -- anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning prefix `[UFW LIMIT BLOCK] '
REJECT     all -- anywhere             anywhere            reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere

Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination

Chain ufw-user-logging-input (0 references)
target     prot opt source               destination

Chain ufw-user-logging-output (0 references)
target    prot opt source               destination

Chain ufw-user-output (1 references)
target     prot opt source               destination
root@www:~#
โดยผมเข้าใจว่าแหล่งรวม firewall script ต่าง ๆ อยู่ที่ /etc/ufw
สำหรับกฎที่สร้างเข้าไปเอง (user rule) จะอยู่ที่ไฟล์ /var/lib/ufw/user.rules

จบครับ