Настройка межсетевого экрана

Имя пакета: gufw
Версия пакета: 22.04.0 и выше
Условия работы: запуск программы выполняется от имени администратора

Общие сведения

Управление службой межсетевого экрана ufw в графическом интерфейсе. Программа позволяет создавать правила обработки сетевого трафика, которые будут записаны и обработаны в iptables. Подробное описание возможностей программы см. man gufw.

Подробное описание принципов работы межсетевого экрана ufw см. man ufw, правил обработки сетевого трафика см. man iptables и man iptables-extensions.

Запуск

Программа запускается:

  • в графическом интерфейсе:
    • через меню Пуск — Параметры — Межсетевой экран — Настройка межсетевого экрана;
    • через классическое меню Пуск — Параметры — Сеть — Настройка межсетевого экрана;
  • из терминала — выполнить команду:
    gufw

Главное окно программы

Главное окно программы содержит следующие элементы:

  • 1 — панель меню;
  • 2 — основные элементы управления межсетевым экраном;
  • 3 — кнопки:
    • [Начало работы] — просмотреть ответы на часто задаваемые вопросы;
    • [Правила]— отобразить рабочую область, в которой возможно создать/отредактировать/удалить правила обработки сетевого трафика;
    • [Отчет] — отобразить в рабочей области службы и программы, использующие сетевые соединения в текущий момент времени;
    • [Журнал] — отобразить в рабочей области сообщения из журнала регистрации событий;
  • 4 — рабочую область (отображает сведения, соответствующие нажатой кнопке).

Управление межсетевым экраном

По умолчанию межсетевой экран отключен. Для его включения необходимо в главном окне программы установить переключатель Статус во включенное положение.

Для выключения межсетевого экрана необходимо установить переключатель Статус в выключенное положение.

Для настройки разграничения для входящего и исходящего сетевого трафика необходимо из выпадающих списков Входящие и Исходящие, соответственно, выбрать одно из следующих действий:

  • Разрешить — трафик будет разрешен;
  • Запретить — трафик будет запрещен без уведомления запрашивающей стороны;
  • Отклонить — трафик будет запрещен с уведомлением запрашивающей стороны.

Приоритет применения правил разграничения для входящего и исходящего сетевого трафика:

Профиль межсетевого экрана

Выбор профиля

Профили позволяют использовать различные сочетания правил межсетевого экрана для обработки сетевого трафика. Для выбора профиля необходимо:

  • в главном окне программы раскрыть выпадающий список Профиль;
  • выбрать нужный профиль из списка.

По умолчанию в программе созданы следующие профили:

  • «Офис» — запрет входящего трафика, разрешение исходящего трафика. Межсетевой экран будет запрещать сетевые пакеты без уведомления запрашивающей стороны;
  • «Дом» — запрет входящего трафика, разрешение исходящего трафика;
  • «Общественное место» отклонение входящего трафика, разрешение исходящего трафика. Межсетевой экран будет отклонять сетевые пакеты с уведомлением запрашивающей стороны.

Профили «Дом» и «Офис» в начальной конфигурации не отличаются друг от друга и служат шаблоном для последующих дополнительных разграничений сетевого трафика в случае необходимости. Подробное описание дополнительных разграничений сетевого трафика см. Правила трафика.

Добавление профиля

Добавление профиля позволяет создать новый профиль и добавить его в список профилей для последующего выбора (см. Выбор профиля). Для добавления профиля необходимо:

  • в главном окне программы выбрать Правка — Параметры;
  • в открывшемся окне Настройки сетевого экрана нажать [Добавить профиль].

Добавленный профиль будет создан с теми же настройками, что и текущий профиль: будут скопированы настройки из выпадающих списков Входящие и Исходящие и положение переключателя Статус (см. Управление межсетевым экраном). При этом предустановленные, простые и расширенные правила сетевого трафика скопированы не будут.

Добавленный профиль будет отображен в секции Профили окна Настройки сетевого экрана, а также будет добавлен в выпадающий список Профиль главного окна программы.

Для настройки профиля в соответствии с нужными правилами обработки сетевого трафика см. Правила трафика.

Удаление профиля

В программе возможно удалить профиль, при этом также будут удалены связанные с ним правила обработки сетевого трафика.

ВНИМАНИЕ! Удаление профиля в программе выполняется сразу, без запроса дополнительного подтверждения.

Для удаления профиля необходимо:

  • в главном окне программы выбрать Правка — Параметры;
  • в открывшемся окне Настройки сетевого экрана выбрать профиль и нажать [Удалить выбранный профиль].
     Примечание. Текущий профиль в программе удалить невозможно. Для удаления текущего профиля следует сделать его неактивным, применив любой другой профиль (см. Выбор профиля), после чего выполнить процедуру удаления.

Переименование профиля

Для переименования профиля необходимо:

  • в главном окне программы выбрать Правка — Параметры;
  • в открывшемся окне Настройки сетевого экрана в секции Профили выбрать нужный профиль, дважды нажав на нем левой кнопкой мыши.
    Примечание. Текущий профиль в программе переименовать невозможно. Для переименования текущего профиля следует сделать его неактивным, применив любой другой профиль (см. Выбор профиля), после чего выполнить процедуру переименования;
  • в поле ввода имени ввести новое имя профиля и нажать <Enter>;
  • нажать [Закрыть].

Поиск профиля

Для поиска необходимого профиля можно воспользоваться полем поиска. Для этого необходимо:

  • в главном окне программы выбрать Правка — Параметры;
  • в открывшемся окне Настройки сетевого экрана в секции Профили выбрать любой профиль;
  • нажать комбинацию клавиш <Ctrl+F> и ввести необходимый текст или часть текста в отобразившемся поле. Первое найденное совпадение будет выделено цветом в рабочей области. Для перехода к следующему или предыдущему совпадению можно воспользоваться на клавиатуре стрелками [↓] или [↑] соответственно.

Найденный профиль можно переименовать или удалить (см. Переименование профиля, Удаление профиля).

Экспорт профиля

Экспорт профиля позволяет сохранить текущие правила межсетевого экрана в файл с расширением *.profile для последующего использования или переноса на другой компьютер. Для экспорта профиля необходимо:

  • в главном окне программы выбрать Файл — Экспортировать этот профиль;
  • в открывшемся окне Экспортировать профиль:
    • ввести название файла профиля в поле Имя;
    • нажать [Сохранить].

По умолчанию экспортированный профиль будет сохранен в каталог /etc/gufw/app_profiles/. Для сохранения профиля в другой каталог следует в диалоговом окне Экспортировать профиль самостоятельно задать необходимый каталог.

Импорт профиля

Импорт профиля позволяет загрузить правила межсетевого экрана, предварительно сохраненные в файл с расширением *.profile (см. Экспорт профиля). Для импорта профиля необходимо:

  • в главном окне программы выбрать Файл — Импортировать профиль;
  • в открывшемся окне Импортировать профиль выбрать файл профиля межсетевого экрана и нажать [Открыть].

Импортированный профиль будет доступен для выбора в выпадающем списке Профиль главного окна программы (см. Выбор профиля).

Сброс текущего профиля

Функция сброса параметров текущего профиля удаляет все правила из данного профиля и отключает межсетевой экран. Для сброса параметров текущего профиля необходимо:

  • в главном окне программы выбрать Правка — Сбросить текущий профиль;
  • в открывшемся окне Перезапуск межсетевого экрана нажать [Да] для подтверждения.

Правила трафика

Порядок добавления правил

Правила добавляются только к текущему профилю и применяются сразу при их добавлении.

Все правила, отображаемые в рабочей области, относятся к текущему профилю. Порядковые номера определяют приоритет обработки правил.

При удалении профиля связанные с ним правила также будут удалены.

Типы правил

В программе существуют следующие типы правил:

  • предустановленные — для часто используемых программ и служб (см. Предустановленное правило);
  • простые — для использования параметров фильтрации сетевого трафика по направлению, протоколу и порту (см. Простое правило);
  • расширенные — для использования дополнительных параметров фильтрации сетевого трафика (см. Расширенное правило).

Добавление правила

Предустановленное правило

Предустановленные правила позволяют задать правила фильтрации трафика для часто используемых программ и служб. Правила применяются к текущему профилю.

ВНИМАНИЕ! Предустановленные правила возможно добавить только при включенном межсетевом экране.

Для добавления предустановленного правила необходимо:

  • в главном окне программы нажать [Правила];
  • нажать [Добавить правило];
  • в открывшемся окне Добавить правило сетевого экрана перейти во вкладку Предустановленные и выполнить следующие действия:
    • из выпадающего списка Политика выбрать необходимое действие с трафиком:
      • Разрешить — трафик будет разрешен;
      • Запретитьтрафик будет запрещен без уведомления запрашивающей стороны;
      • Отклонить — трафик будет запрещен с уведомлением запрашивающей стороны;
      • Ограничить — будет ограничено количество сетевых соединений за определенный период c одного IP-адреса (описание работы см. man ufw и man iptables-extensions, значения по умолчанию определены в файле /etc/ufw/user.rules в секции RULES);
    • из выпадающего списка Направление выбрать тип трафика, для которого будет применяться правило:
      • В — правило будет применено для входящего трафика;
      • Из — правило будет применено для исходящего трафика;
      • Оба — правило будет применено как для исходящего, так и для входящего трафика;
    • из выпадающего списка Категория выбрать категорию, к которой относится необходимая программа (например, Сеть);
    • из выпадающего списка Подкатегория выбрать подкатегорию, к которой относится необходимая программа (например, Удаленный доступ);
    • из выпадающего списка Приложение выбрать службу/программу или ввести вручную в поле Фильтр приложений. По мере ввода в выпадающий список Приложение будет подставляться совпадающее название. Краткую справочную информацию о службе/программе можно узнать, наведя курсор мыши на символ [i];
    • нажать [Добавить];
    • при необходимости добавить еще одно правило — выбрать новые значения в списках и нажать [Добавить];
    • нажать [Закрыть] для возврата в главное окно программы.

При необходимости на этапе создания предустановленного правила его возможно преобразовать в расширенное правило, нажав [Скопировать значения и перейти на вкладку Расширенные].

После чего следует продолжить создание расширенного правила (см. Расширенное правило).

Для просмотра правил и информации об используемых портах соответствующими программами/службами см. Просмотр правил.

Простое правило

Простые правила позволяют задать правила фильтрации по направлению трафика, протоколу и порту. Правила применяются к текущему профилю.

ВНИМАНИЕ! Простые правила возможно добавить только при включенном межсетевом экране.

Для добавления простого правила необходимо:

  • в главном окне программы нажать [Правила];
  • нажать [Добавить правило];
  • в открывшемся окне Добавить правило сетевого экрана перейти во вкладку Обычные и выполнить следующие действия:
    • в поле Имя ввести название правила;
    • из выпадающего списка Политика выбрать необходимое действие с трафиком:
      • Разрешить — трафик будет разрешен;
      • Запретитьтрафик будет запрещен без уведомления запрашивающей стороны;
      • Отклонить — трафик будет запрещен с уведомлением запрашивающей стороны;
      • Ограничить — будет ограничено количество сетевых соединений за определенный период c одного IP-адреса (описание работы см. man ufw и man iptables-extensions, значения по умолчанию определены в файле /etc/ufw/user.rules в секции RULES);
    • из выпадающего списка Направление выбрать тип трафика, для которого будет применяться правило:
      • В — правило будет применено для входящего трафика;
      • Из — правило будет применено для исходящего трафика;
      • Оба — правило будет применено как для исходящего, так и для входящего трафика;
    • из выпадающего списка Протокол выбрать протокол передачи данных:
      • TCP — будет отслеживаться передача данных по TCP протоколу;
      • UDP — будет отслеживаться передача данных по UDP протоколу;
      • Оба — будет отслеживаться передача данных как по TCP, так и по UDP протоколу;
    • в поле Порт ввести номер порта, при соединении с которым будет действовать правило (например, 8080);
    • нажать [Добавить];
    • при необходимости добавить еще одно правило — выбрать новые значения в списках и нажать [Добавить];
    • нажать [Закрыть] для возврата в главное окно программы.

При необходимости на этапе создания простого правила его возможно преобразовать в расширенное правило, нажав [Скопировать значения и перейти на вкладку Расширенные].

После чего следует продолжить создание расширенного правила (см. Расширенное правило).

Для просмотра правил и информации об используемых портах соответствующими программами/службами см. Просмотр правил.

Расширенное правило

Расширенные правила позволяют задать дополнительные параметры фильтрации трафика (например, указать интерфейс подключения или установить уровень регистрации событий для конкретного правила). Правила применяются к текущему профилю.

ВНИМАНИЕ! Расширенные правила возможно добавить только при включенном межсетевом экране.

Для добавления расширенного правила необходимо:

  • в главном окне программы нажать [Правила];
  • нажать [Добавить правило];
  • в открывшемся окне Добавить правило сетевого экрана перейти во вкладку Расширенные и выполнить следующие действия:
    • в поле Имя ввести название правила;
    • в поле Вставить ввести порядковый номер правила вручную или воспользоваться соответствующими кнопками. Чем меньше порядковый номер правила, тем выше его приоритет (для просмотра нумерации правил следует нажать [Правила] в главном окне программы);
    • из выпадающего списка Политика выбрать необходимое действие с трафиком:
      • Разрешить — трафик будет разрешен;
      • Запретить — трафик будет запрещен без уведомления запрашивающей стороны;
      • Отклонить — трафик будет запрещен с уведомлением запрашивающей стороны;
      • Ограничить — будет ограничено количество сетевых соединений за определенный период c одного IP-адреса (описание работы см. man ufw и man iptables-extensions, значения по умолчанию определены в файле /etc/ufw/user.rules в секции RULES);
    • из выпадающего списка Направление выбрать тип трафика, для которого будет применяться правило:
      • В — правило будет применено для входящего трафика;
      • Из — правило будет применено для исходящего трафика;
      • Оба — правило будет применено как для исходящего, так и для входящего трафика;
    • из выпадающего списка Интерфейс выбрать конкретный сетевой интерфейс или все сетевые интерфейсы;
    • из выпадающего списка Журнал выбрать уровень регистрации событий для данного правила:
      • Не вести журнал — регистрация событий для данного правила осуществляться не будет;
      • Журнал — будет осуществляться регистрация событий, которые соответствуют установленным параметрам правила;
      • Записывать в журнал все события — будет осуществляться регистрация всех событий для данного правила.
      Регистрация событий также зависит от глобальных настроек регистрации (см. Настройка регистрации событий);
    • из выпадающего списка Протокол выбрать протокол передачи данных:
      • TCP — будет отслеживаться передача данных по TCP протоколу;
      • UDP — будет отслеживаться передача данных по UDP протоколу;
      • Оба — будет отслеживаться передача данных как по TCP, так и по UDP протоколу;
    • в полях Из ввести IP-адрес и порт источника;
    • в полях В ввести IP-адрес и порт назначения.
       Примечание. Для автоматической подстановки IP-адреса текущего узла в поля Из или В следует нажать [Введите ваш текущий IP] для соответствующего поля;
    • нажать [Добавить];
    • при необходимости добавить еще одно правило — выбрать новые значения в списках и нажать [Добавить];
    • нажать [Закрыть] для возврата в главное окно программы.

Создать расширенное правило также можно исходя из сведений мониторинга сетевых соединений (см. Мониторинг сетевых соединений).

Для просмотра правил и информации об используемых портах соответствующими программами/службами см. Просмотр правил.

Удаление правила

ВНИМАНИЕ! По умолчанию удаление правил в программе выполняется сразу, без запроса дополнительного подтверждения. Для вывода окна с подтверждением удаления правила см. Настройки.

Для удаления правила необходимо:

  • в главном окне программы нажать [Правила];
  • выбрать правило (при необходимости возможно выбрать несколько правил, удерживая клавишу <Shift> или <Ctrl>);
  • нажать [Удалить выбранные правила];
  • в случае вывода окна Удалить правило (с запросом подтверждения удаления) нажать [Да]. Номера оставшихся правил (приоритеты) будут скорректированы автоматически.

Редактирование правила

Для редактирования правила необходимо:

  • в главном окне программы нажать [Правила];
  • выбрать нужное правило.
    Примечание. Правила, добавленные в межсетевой экран ufw через командную строку, изменить нельзя. Они доступны только для просмотра и удаления;
  • нажать [Изменить выбранное правило];
  • в открывшемся окне Обновить правило фаервола выполнить необходимые действия (см. Добавление правила);
  • нажать [Применить].

После редактирования правило будет перемещено в конец списка и его приоритет будет уменьшен.

Просмотр правил

Чтобы просмотреть правила трафика для текущего профиля, необходимо в главном окне программы нажать [Правила]. Правила можно отсортировать по приоритету, правилу или по названию, нажав на соответствующий заголовок столбца таблицы. Информация об используемых портах соответствующими программами/службами и приоритете правил будет отображена в таблице, где:

  • в столбце будет указан порядковый номер правила. Чем меньше порядковый номер правила, тем выше его приоритет;
  • в столбце Правило будет указан используемый порт и протокол передачи информации;
  • в столбце Название будет указано название программы или службы.

Для поиска информации в рабочей области следует нажать комбинацию клавиш <Ctrl+F> и в отобразившемся поле ввести необходимый текст или часть текста. Также можно сразу начать вводить текст без нажатия комбинации.

Найденное совпадение будет выделено цветом в рабочей области. Для перехода к следующему или предыдущему совпадению можно воспользоваться на клавиатуре стрелками [↓] или [↑] соответственно.

Мониторинг сетевых соединений

Межсетевой экран выполняет мониторинг служб и программ, использующих сеть в текущий момент времени. Для просмотра данной информации необходимо нажать [Отчет] в главном окне программы, после чего в рабочей области будет отображена таблица со следующей информацией:

  • порядковый номер сетевого соединения, обработанного межсетевым экраном;
  • используемый протокол передачи информации;
  • используемый сетевой порт;
  • сетевой адрес отправителя или получателя (знак «*» означает, что осуществляется мониторинг всех сетевых адресов);
  • программа (служба), использующая сетевое соединение.

Чтобы создать правило для службы или программы из данного списка, необходимо нажать [Создать правило из отчета прослушивания].

Будет открыто окно для добавления правила межсетевого экрана, где необходимо выполнить нужные настройки (см. Расширенное правило).

Для приостановки мониторинга сетевых соединений необходимо нажать [Приостановить отчет прослушивания].

После приостановки мониторинга вместо кнопки [Приостановить отчет прослушивания] будет отображена кнопка [Смотреть текущий отчет прослушивания].

Для возобновления мониторинга нажать [Смотреть текущий отчет прослушивания].

Для поиска информации в рабочей области следует нажать комбинацию клавиш <Ctrl+F> и ввести необходимый текст или часть текста в отобразившемся поле.

Найденное совпадение будет выделено цветом в рабочей области. Для перехода к следующему или предыдущему совпадению можно воспользоваться на клавиатуре стрелками [↓] или [↑] соответственно.

Для установки интервала обновления мониторинга сетевых соединений см. Настройки.

Регистрация событий

Настройка регистрации событий

В программе используется:

  • глобальная регистрация событий — для всех событий;
  • локальная регистрация событий — для событий, связанных с конкретным расширенным правилом сетевого трафика.

Для глобальной и локальной регистрации событий доступны несколько уровней регистрации событий.

Для глобальной регистрации событий существуют следующие уровни регистрации:

  • выключен — регистрация событий осуществляться не будет;
  • низкий — регистрация только тех событий блокировки пакетов сетевого трафика, для которых не добавлены правила;
  • средний — регистрация только тех событий сетевых соединений и блокировки пакетов сетевого трафика, для которых не добавлены правила;
  • высокийрегистрация только тех событий сетевых соединений, блокировки и разрешения пакетов сетевого трафика, для которых не добавлены правила;
  • максимальный — регистрация всех событий.

Для выбора уровня глобальной регистрации событий необходимо:

  • в главном окне программы выбрать Правка — Параметры;
  • в открывшемся окне Настройки сетевого экрана из выпадающего списка Уровень журнала выбрать необходимый уровень регистрации событий;

  • нажать [Закрыть].

Для локальной регистрации событий существуют следующие уровни регистрации:

  • не вести журнал — регистрация событий для расширенного правила осуществляться не будет;
  • журнал — будет осуществляться регистрация событий, которые соответствуют установленным параметрам для расширенного правила;
  • записывать в журнал все события — будет осуществляться регистрация всех событий (как соответствующих, так и не соответствующих установленным параметрам) для расширенного правила.

Для выбора уровня локальной регистрации событий см. Расширенное правило.

Регистрируемые события записываются в журнал /var/log/ufw.log. Журнал возможно посмотреть в программе (см. Просмотр журнала в окне программы).

Механизм записи событий в журнал для расширенного правила при совокупном применении локальной и глобальной регистрации событий приведен в таблице.


 Глобальная

Локальная

Не вести журнал

Журнал

Записывать в журнал все события
Выключеннет записинет записинет записи
Низкийнет записизаписьзапись
Среднийнет записизаписьзапись
Высокийнет записизаписьзапись
Максимальныйзаписьзаписьзапись

Просмотр журнала в окне программы

Для возможности просмотра журнала /var/log/ufw.log в программе необходимо:

  • в главном окне программы выбрать Правка — Параметры;
  • в открывшемся окне Настройки сетевого экрана установить флаг Журналирование активности Gufw;
  • нажать [Закрыть].

После установки флага для вывода событий в рабочую область главного окна программы необходимо нажать [Журнал].

Для копирования событий сетевого трафика в буфер обмена необходимо нажать [Скопировать журнал в буфер обмена].

Для удаления событий сетевого трафика из рабочей области главного окна программы необходимо нажать [Удалить журнал].

Примечание. Данное действие не приведет к удалению или очистке журнала /var/log/ufw.log.

Настройки

Обновление данных мониторинга

Для установки интервала обновления мониторинга сетевых соединений необходимо:

  • в главном окне программы выбрать Правка — Параметры;
  • в открывшемся окне Настройки сетевого экрана установить ползунок Интервал обновления в нужное значение в секундах (от 1 до 7 секунд);
  • нажать [Закрыть].

Подтверждение удаления правила

Чтобы при удалении правила сетевого трафика (см. Удаление правила) отображалось окно для подтверждения данной операции, необходимо:

  • в главном окне программы выбрать Правка — Параметры;
  • в открывшемся окне Настройки сетевого экрана установить флаг Запрашивать подтверждение при удалении правил;
  • нажать [Закрыть].

Выход из программы

Для выхода из программы необходимо в главном окне выбрать Файл — Выйти или закрыть окно программы, нажав [Закрыть].