Jak sestavit pravidla a jejich skladba
Uživatel může specifikovat pravidla, která používají jednoduchou
skladbu anebo úplnou skladbu. Jednoduchá skladba je specifikace portu
a volitelně protokol, které jsou povolené nebo zakázané. Obě skladby
obsahují komentář pro pravidlo.
Příklady jednoduchých skladeb pravidel:
- http: ufw allow http
- port 53: ufw allow 53
- ssh: ufw allow ssh
- ftp: ufw allow ftp
- ftps: ufw allow ftps
Pro běžný provoz desktopu využijeme následující porty:
- 80/tcp http: nezabezpečené prohlížení internetu
- 443/tcp https: zabezpečené prohlížení internetu
- 53: tento port potřebuji pro instalaci z repozitářů
- 21 ftp: přenos souborů
Přidání rozsahu adres
Povolí z adresy 192.168.1.10 komunikaci na 192.168.1.20 protokolem TCP a portem 22:
ufw allow proto tcp from 192.168.1.10 to 192.168.1.20 port 22
Příklad pravidel pro kdeconnect
Příklad pravidel pro kdeconnect, kdy je potřeba povolit rozsah
portů 1714-1764 pro protokoly UDP a TCP sadou příkazů:
ufw allow 1714:1764/tcp
ufw allow 1714:1764/udp
Stav vypíše následující:
ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
1714:1764/tcp ALLOW IN Anywhere
1714:1764/udp ALLOW IN Anywhere
1714:1764/tcp (v6) ALLOW IN Anywhere (v6)
1714:1764/udp (v6) ALLOW IN Anywhere (v6)
Integrace aplikací
UFW podporuje integraci aplikací čtením z profilů umístěných v
/etc/ufw/applications.d. Pro seznam jmen známých aplikací použijeme:
ufw app list
Informace o dané aplikaci získáme příkazem:
ufw app info jméno
Standartní politika aplikací je skip (přeskočit). Můžeme specifikovat
jinou politiku jako povolit a popřít.
ufw app default deny
Jestliže se nějaký profil aplikace upravoval, může se hodit příkaz pro aktualizaci aplikace:
ufw app update jméno