iptables を簡単に設定する為のツール。
ヘルプ表示
ufw help
ufw のコマンド一覧を表示する。
状態表示
ufw status
ufw が有効か無効かを表示する。
ルールが設定されている場合は設定済みのルール一覧を表示する。
ufw status numbered
ufw の有効 / 無効、設定済みルールの一覧を番号付きで表示する。
UFW の有効化 / 無効化
ufw enable | disable
ufw を有効 / 無効にする。
通信ルールの設定
ufw default DENY | REJECT
| ルール | 動作 |
|---|---|
| DENY | 外部から入ってくる通信を遮断する。外部からの接続が試行された場合、 Connection Refused を返さず、タイムアウトする。 |
| REJECT | 外部から入ってくる通信を遮断する。外部からの接続が試行された場合、 Connection Refused を返す。 |
ufw allow ポート番号/プロトコル
ポート番号のみを指定した場合は指定した番号のポートを開く。
ポート番号/プロトコル を指定した場合は
指定した番号のポートを開き、指定したプロトコルにおける通信のみを許可する。
ufw allow from IP アドレス
指定した IP アドレスからの接続を許可する。
ufw allow from IP アドレス to any port サービス名
指定した IP アドレスからの、指定したサービスによる接続を許可する。
ufw allow アプリケーション名
ufw app list
指定したアプリケーションにおいて使用される通信を許可する。
アプリケーション定義は /etc/ufw/application.d/ ディレクトリに格納されている定義を使用する。
ufw allow アプリケーション名 で使用可能なアプリケーション定義の一覧は
ufw app list で確認することができる。
ufw allow サービス名
指定したサービスで使用するポートを開き、通信を許可する。
ポート番号とプロトコルの組合せは /etc/services に記載された定義が使用される。
ufw limit サービス名
指定したサービスにおいて繰返し試行される接続を拒否する。
ブルートフォースアタックに対する防御に使用されることが多い。
定義済みルールの削除と追加
ufw delete ルール
指定したルールを削除する。
ufw insert ルール番号 ルール
指定したルール番号の位置へルールを追加する。
ログの出力設定
ufw logging off | low | medium | high | full
ログに記録するレベルを設定する。
ログは /var/log/syslog へ出力される。
| ログレベル | 動作 |
|---|---|
| off | 完全に無効 |
| low | default 以外のルールによりブロックされる通信を記録する。 |
| medium | allow / deny に合致する通信、不正なパケット、新しい接続を記録する。(既定値) |
| high | allow / deny に合致する通信、不正なパケット、新しい接続を記録する。 medium よりも詳細な記録を出力する。 |
| full | 全てのログを記録する。 |
このページに記載したコマンドの他にも
パケット転送を定義するコマンドが存在するようだが書式がやや複雑。
/etc/ufw/sysctl.conf や /etc/default/ufw 、 /etc/ufw/before.rules 等を
直接編集する方が早いような気がする。