Более того, понятия, которые я сегодня буду использовать, уже знакомы тем, кто читал предыдущую статью Фаервол UFW. Базовая настройка. Для тех, кто не знает, о чем речь, я буду давать краткие пояснения. Итак, приступим.
Установка GUFW и знакомство с интерфейсом.
Раз уж я обещал использовать только графический интерфейс, давайте установим GUFW с помощью центра приложений. После запуска менеджера приложений введите в строку поиска "gufw" и нажмите кнопку Установить. Появится предложение ввести пароль, что мы и сделаем.
После запуска программы вводим пароль повторно и попадаем на главный экран. Внизу — совсем уж краткое руководство, вверху — несложные элементы управления. Давайте разберемся, что к чему.
Переключатель профилей позволяет выбрать один из предустановленных наборов настроек для типичных ситуаций. В домашнем профиле, например, фаервол отключен, а для общественных мест, таких как офис, предусмотрено несколько правил, разрешающих доступ к часто используемым портам. Профили можно и нужно редактировать. Кроме того, их можно добавлять, удалять и переименовывать. Для этого из меню Правка выберите пункт Параметры.
Двойной щелчок на профиле позволит его переименовать, для добавления и удаления используйте расположенные внизу кнопки "+" и "-". Здесь же можно настроить запись событий в лог и некоторые другие параметры. Вернемся к основному экрану.
Кнопка Статус отображает текущее состояние фаервола — включен он или выключен. Еще ниже располагаются переключатели политик по умолчанию. Как и в UFW, сразу после установки и включения весь входящий трафик блокируется, а исходящий — пропускается без проблем. В большинстве случаев это оптимальное решение и что-либо менять здесь без необходимости не нужно.
Для тех, кто не читал предыдущие статьи, коротко напомню, что означает каждый из вариантов.
- Разрешить — если не найдено соответствующее правило, соединение будет разрешено.
- Запретить — если не найдено разрешающее правило, соединение не удастся.
- Отклонить — при отсутствии разрешающего правила пакет будет отклонен, а отправитель получит уведомление об этом.
Таким образом, при настройках по умолчанию мы можем отправлять любые данные куда угодно, а получать — только на те порты, для которых установлено разрешающее правило.
При создании правил у нас появится еще один, дополнительный вариант — ограничить. Он соответствует команде:
а именно — ограничивает количество подключений к указанному порту/ip в единицу времени. Разрешается 6 обращений за 30 секунд, все остальное будет заблокировано.
Далее располагается несколько вкладок, первая из которых содержит список правил, вторая отображает набор приложений, использующих сеть, а третья демонстрирует историю уведомлений.
Настройка GUFW.
Для начала давайте проясним некоторые особенности поведения GUFW, которые кому-то могут показаться не совсем очевидными. Как уже было сказано в первой статье этого цикла, GUFW — оболочка для фаервола UFW, который, в свою очередь, основывается на iptables. Таким образом, если вы настроили и включили фаервол через графическую оболочку, держать программу запущенной нет необходимости. Достаточно включить фаервол один раз, что будет равносильно выполнению команды:
То же самое относится и к добавлению правил. Если вы добавите их в GUFW, они будут видны в UFW и наоборот. И в том, и в другом случае вы создаете одни и те же правила и применяете одни и те же настройки. Разница лишь в способе доступа к ним. Сравните правила UFW и GUFW на скриншоте.
В графическом режиме добавление правил осуществляется проще и нагляднее. Помимо переключателей, позволяющих выбрать, что, куда и откуда разрешить или запретить, существуют предустановки для большого количества приложений и игр. Выбираем из списка нужное приложение, нажимаем добавить — и получаем готовую запись, разрешающую доступ к необходимым именно для этого приложения портам. Больше ничего при этом трогать не нужно. Идеальный вариант, для тех, кто не хочет вникать в тонкости администрирования.
Незамысловатый фаервол (буквальный перевод названия) и еще более незамысловатая графическая оболочка для него превосходно покрывают нужды домашнего пользователя в большинстве случаев. Но если вам все же необходима более гибкая и тонкая настройка, придется освоить iptables.