Настройка Firewall UFW

Настройка Firewall.
Сначала необходимо его активировать:
ufw anable - включить
ufw default deny - установить максимальную закрытость
ufw default allow - установить максимальную открытость
ufw status - показать правила
ufw app list - список правил для приложений

/etc/ufw/ufw.conf - в конфигорационном файле нужно включить параметр ENBLES=yes

Если настройка ufw происходит в putty,то сначала надо создать все правила а потом включить ufw командой anable.

Примеры команд для настройки UFW:

Разрешить порт 53:
$sudo ufw allow 53

Отменить разрешение порта 53:
$sudo ufw delete allow 53

Разрешить порт 80:
$sudo ufw allow 80/tcp

Отменить разрешение порта 80:
$sudo ufw delete allow 80/tcp

Разрешить порты для smtp:
$sudo ufw allow smtp

Разрешить входяшие запросы для определенного IP:
$sudo ufw allow from 192.168.254.254

Отмена предыдущего правила
$sudo ufw delete allow from 192.168.254.254


Возможно разрешить доступ для определенных хостов или сетей. Следующий пример показывает как разрешить доступ хосту с ip адресом 192.168.0.2 на хост с любым ip по протоколу ssh: sudo ufw allow proto tcp from 192.168.0.2 to any port 22. Если заменить 192.168.0.2 на 192.168.0.0/24 то мы разрешим протокол ssh для любого хоста этой локальной сети.


как сделать разрешение на работу со squid только локальной сети
думаю делать надо так:
ufw allow from 192.168.3.0/24 to any port 3128 - сперва даем разрешение
ufw deny from 192.168.3.0/24 - потом запретить все соединения из этой подсити

# ********** Реально на работе сделано так: **********
ufw enable
ufw default allow
ufw logging on
ufw allow from 192.168.3.2 to any port 21 -ftp
ufw allow from 192.168.3.3 to any port 21
#ufw allow from 192.168.3.0/24 to any port 21 - (можно разрешить всем)
ufw deny 21
ufw allow from 192.168.3.2 to any port 22 - ssh
ufw allow from 192.168.3.3 to any port 22
ufw deny 22
ufw deny 23 - telnet
ufw deny 25 - maill
ufw deny 80 - http
ufw deny 110 - maill
ufw deny Samba
ufw allow from 192.168.3.0/24 to any port 445
ufw deny 445

# ******************************************************

# ********** Упращеная настройка: **********
ufw enable
ufw default allow
ufw logging on
ufw allow from 192.168.3.0/24 to any port 21 - (ftp разрешить всем)
ufw deny 21
ufw allow from 192.168.3.0/24 to any port 22 - (ssh разрешить всем)
ufw deny 22
ufw deny 23 - telnet
ufw deny 80 - http
ufw allow from 192.168.3.0/24 to any Samba

ufw deny Samba
ufw allow from 192.168.3.0/24 to any port 445
ufw deny 445
# *********************************************

# эти запрещения включены в правила для приложений
#ufw allow from 192.168.3.2 to any port 80
#ufw allow from 192.168.3.3 to any port 80
#ufw deny 80

ufw deny Samba
ufw deny Apache
#ufw deny Apache Full
#ufw deny Apache Secure


можно также сделать и так (разрешить доступ только с определенных адресов):
ufw allow from 192.168.3.2 to any port 3128
ufw allow from 192.168.3.3 to any port 3128
ufw allow from 192.168.3.66 to any port 3128
ufw allow from 192.168.3.96 to any port 3128
ufw allow from 192.168.3.97 to any port 3128
ufw allow from 192.168.3.98 to any port 3128
ufw allow from 192.168.3.99 to any port 3128
ufw allow from 192.168.3.100 to any port 3128
ufw allow from 192.168.3.110 to any port 3128
ufw allow from 192.168.3.120 to any port 3128
ufw allow from 192.168.3.130 to any port 3128
ufw allow from 192.168.3.140 to any port 3128
ufw deny from 192.168.0.0/16

# выполнить установку правил из bash script
for port in {5900..5910}; do ufw allow proto tcp from any to any port $port; done
for $ip in {2..20}; do ufw allow from 192.168.3.$ip to any port 3128; done

Общие рекомендации - это запретить доступ к портам: 21,23,80,137-139,445 из внешней сети.
ufw allow from 192.168.3.0/24 to any port 445 - разрешаем всей локальной подсети
ufw deny 445 - потом полностью запрещаем, для внешней подсети в том числе


http://pario.no/tag/iptables/ - на английском, несколко примеров из жизни, а не из пальца

проверить открытые порты можно следующими утилитами:
nmap 192.168.3.9
nmap -sT -O 192.168.1.1
netstat
netstat -ap
netstat -an
iptraf
ufw status