راهنمای نصب و پیکربندی فایروال UFW در لینوکس + آموزش دستورات کاربردی

فایروال UFW در لینوکس ابزاری ساده و قدرتمند برای مدیریت امنیت شبکه است که با دستورات ساده به شما امکان کنترل دسترسی‌ها و افزایش امنیت سیستم را می‌دهد. در این مقاله از بلاگ ابر زس، به آشنایی با فایروال UFW پرداخته و به سوالاتی مانند «چگونه UFW را در لینوکس کانفیگ کنیم؟» و «چگونه فایروال UFW را در لینوکس نصب کنیم؟» پاسخ می‌دهیم. علاوه بر آن، با آموزش نصب و پیکربندی فایروال UFW در لینوکس، تمامی مراحل نصب و راه‌اندازی این فایروال را به صورت گام‌به‌گام بررسی خواهیم کرد تا بتوانید به راحتی UFW را روی سیستم خود نصب و پیکربندی کنید.

فایروال UFW؛ سپر امنیتی ساده و قدرتمند برای سیستم‌عامل اوبونتو

فایروال UFW (مخفف Uncomplicated Firewall)، ابزاری ساده و کاربردی برای مدیریت قوانین امنیتی شبکه در اوبونتو است. با استفاده از این ابزار، کاربران می‌توانند بدون نیاز به دانش پیچیده فنی، دسترسی به پورت‌ها، IPها و سرویس‌ها را به راحتی مدیریت کنند. UFW به‌طور پیش‌فرض در اوبونتو نصب شده و می‌تواند با دستوراتی ساده فعال و پیکربندی شود. همچنین، برای کاربران تازه‌وارد به دنیای لینوکس، UFW راهی آسان برای تامین امنیت سیستم ارائه می‌دهد. این ابزار از فناوری‌های iptables و nftables استفاده کرده و با رابط کاربری گرافیکی GUFW، امکان مدیریت آسان‌تری را فراهم می‌کند. UFW به‌گونه‌ای طراحی شده که تنظیمات پیش‌فرض آن بسیاری از نیازهای امنیتی اولیه را برآورده می‌سازد و از قابلیت‌هایی نظیر پشتیبانی از IPv6 و گزارش‌گیری برای نظارت بر فعالیت‌ها برخوردار است.

آموزش نصب و پیکربندی فایروال UFW در لینوکس 

UFW به عنوان یک ابزار ساده برای مدیریت فایروال در سیستم‌های مبتنی بر لینوکس استفاده می‌شود. این ابزار برای کاربرانی که آشنایی زیادی با فایروال‌های پیچیده ندارند طراحی شده و به راحتی قابل استفاده است. در اینجا به آموزش نصب و پیکربندی فایروال UFW در لینوکس خواهیم پرداخت.

نصب فایروال UFW

در اکثر نسخه‌های اوبونتو، UFW به‌طور پیش‌فرض نصب است. با این حال اگر نصب نیست، می‌توانید با اجرای دستور زیر آن را نصب کنید.

apt install ufw

بررسی وضعیت UFW

برای بررسی اینکه آیا UFW فعال است یا خیر، دستور زیر را اجرا کنید:

ufw status

خروجی نمونه:

Status: inactive

این خروجی نشان می‌دهد که فایروال فعال نیست.

فعال کردن UFW

اگر هنگام اجرای دستور فوق پیام Status: inactive را دریافت کردید، به این معنی است که فایروال هنوز روی سیستم شما فعال نشده است. برای فعال کردن آن باید دستور زیر را اجرا کنید:

ufw enable

نکته مهم: به‌طور پیش‌فرض، زمانی که UFW فعال شود، دسترسی به تمام پورت‌های خارجی روی سرور مسدود خواهد شد. این به این معنی است که اگر از طریق SSH به سرور متصل شده‌اید و UFW را بدون اجازه دادن به پورت SSH فعال کنید، اتصال شما قطع خواهد شد. اگر از SSH استفاده می‌کنید، حتماً قبل از فعال کردن فایروال، بخش مربوط به «فعال کردن SSH» را در ادامه مقاله، دنبال کنید تا با مشکلی مواجه نشوید.

خروجی نمونه فعال‌سازی UFW:

Firewall is active and enabled on system startup

برای مشاهده‌ی اینکه چه پورت‌هایی مسدود یا مجاز شده‌اند، می‌توانید از پارامتر verbose همراه با دستور ufw status استفاده کنید:

ufw status verbose

خروجی نمونه:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

این خروجی نشان می‌دهد که فایروال فعال است و حالت‌های پیش‌فرض آن به صورت زیر تنظیم شده‌اند:

• ورودی: مسدود (deny)
• خروجی: مجاز (allow)
• مسیر‌یابی: مسدود (deny)

غیرفعال کردن UFW

اگر به هر دلیلی نیاز داشتید که UFW را غیرفعال کنید، می‌توانید از دستور زیر استفاده کنید:

 ufw disable

توجه داشته باشید که این دستور به‌طور کامل سرویس فایروال را روی سیستم غیرفعال خواهد کرد و دیگر هیچ ترافیکی فیلتر نمی‌شود.

مسدود کردن یک آدرس IP در UFW

ufw deny from 10.10.10.1

در این مثال، آدرس 10.10.10.1 به عنوان مبدأ تمامی ارتباطاتی که باید مسدود شوند، مشخص شده است.

خروجی:

Rule added

این خروجی نشان می‌دهد که قانون جدیدی برای مسدود کردن آدرس IP مورد نظر به فایروال اضافه شده است. بعد از اعمال این قانون، هر نوع اتصال ورودی یا خروجی از این آدرس IP به سیستم شما مسدود خواهد شد. برای اطمینان از اجرای این قانون، می‌توانید با استفاده از دستور زیر وضعیت فایروال را بررسی کنید:

ufw status

خروجی نمونه:

Status: active

To                         Action      From
--                         ------      ----
Anywhere                   DENY        10.10.10.1

در این خروجی مشاهده می‌کنید که آدرس 10.10.10.1 به لیست مسدودها اضافه شده و اکنون تمامی ارتباطات ورودی و خروجی از این آدرس مسدود شده‌اند.

 مسدود کردن یک Subnet

در برخی موارد، ممکن است بخواهید به جای مسدود کردن یک آدرس IP خاص، کل محدوده‌ای از آدرس‌های IP که به عنوان «ساب‌نت (Subnet)» شناخته می‌شوند را مسدود کنید. برای این کار می‌توانید از فرمت ساب‌نت به عنوان پارامتر «from» در دستور «ufw deny» استفاده کنید. به عنوان مثال، برای مسدود کردن تمامی آدرس‌های IP در شبکه «10.10.10.0/24»، می‌توانید دستور زیر را اجرا کنید:

 ufw deny from 10.10.10.0/24

خروجی:

Rule added

در این دستور، «24/» یک Subnet mask است که به این معناست اولین ۲۴ بیت آدرس IP ثابت است و ۸ بیت باقی‌مانده می‌توانند تغییر کنند. این محدوده آدرس شامل تمامی IPهای بین «10.10.10.1» تا «10.10.10.255» می‌شود. این نوع مسدودسازی معمولاً زمانی مفید است که بخواهید دسترسی یک شبکه کامل یا بخش بزرگی از آدرس‌های IP را کنترل یا مسدود کنید.

مسدود کردن اتصالات ورودی به یک رابط شبکه خاص

گاهی سیستم شما ممکن است چندین رابط شبکه (Interfaces) داشته باشد، مانند سرورهایی که از چندین کارت شبکه فیزیکی یا مجازی استفاده می‌کنند. اگر بخواهید اتصالات ورودی از یک آدرس IP خاص را تنها برای یک رابط شبکه مشخص مثل eth0 مسدود کنید، می‌توانید از دستور زیر استفاده کنید:

ufw deny in on eth0 from 10.10.10.2

خروجی:

Rule added

این خروجی نشان می‌دهد که قانون جدید با موفقیت به «UFW» اضافه شده و تمام اتصالات ورودی از آدرس «آی‌پی 10.10.10.2» به رابط شبکه «eth0» مسدود شده است. این دستور زمانی کاربرد دارد که سیستم شما چندین کارت شبکه داشته باشد و بخواهید فقط دسترسی به یک کارت خاص را محدود کنید، بدون اینکه بر سایر کارت‌های شبکه تأثیر بگذارد.

نحوه اجازه دادن به یک آدرس IP خاص در UFW

برای اجازه دادن به تمامی اتصالات شبکه‌ای که از یک آدرس IP خاص می‌آیند، می‌توانید دستور زیر را اجرا کنید. کافی است آدرس IP مورد نظر خود را به جای آدرس مشخص شده در دستور وارد کنید:

ufw allow from 10.10.10.3

خروجی:

Rule added

این خروجی نشان می‌دهد که قانون جدید برای اجازه دادن به آدرس IP مورد نظر با موفقیت اضافه شده است. اگر اکنون دستور «ufw status» را اجرا کنید، مشاهده خواهید کرد که عبارت «ALLOW» در کنار آدرس «آی‌پی» که به تازگی اضافه کرده‌اید نمایش داده شده است.

خروجی نمونه:

Status: active

To                         Action      From
--                         ------      ----
...          
Anywhere                   ALLOW       10.10.10.3

در این مثال، فایروال به طور کامل به اتصالاتی که از آدرس «آی‌پی 10.10.10.3» می‌آیند، اجازه دسترسی به سیستم را می‌دهد.

نحوه اجازه دادن به یک شبکه خاص در UFW

اگر می‌خواهید یک محدوده کامل از آدرس‌های IP را مجاز کنید، می‌توانید با استفاده از یک مقدار خاص (که به آن Net Mask می‌گویند و محدوده آدرس‌ها را مشخص می‌کند)، همه آدرس‌های آن محدوده را به‌طور همزمان مجاز کنید. برای مثال، برای مجاز کردن تمامی اتصالات از شبکه «10.10.10.0/24»، کافی است دستور زیر را اجرا کنید:

 ufw allow from 10.10.10.0/24

اجازه دادن به اتصالات ورودی به یک رابط شبکه خاص

گاهی اوقات ممکن است بخواهید فقط اتصالات ورودی از یک آدرس IP مشخص را به یک رابط شبکه خاص (مثلاً eth0) مجاز کنید. برای این کار کافی است از دستور زیر استفاده کنید و آدرس IP و نام رابط شبکه مورد نظر را جایگزین کنید:

ufw allow in on eth0 from 10.10.10.4

این دستور به‌ویژه زمانی مفید است که سرور شما دارای چندین کارت شبکه باشد و شما بخواهید دسترسی به یک کارت شبکه خاص را مدیریت کنید.

خروجی:

Rule added

این خروجی به این معناست که قانون جدید با موفقیت اضافه شده است. اگر ufw status را اجرا کنید، مشاهده خواهید کرد که این قانون در خروجی نشان داده شده است:

خروجی نمونه:

Status: active

To                         Action      From
--                         ------      ----
...         
Anywhere on eth0           ALLOW       10.10.10.4

حذف قانون UFW

برای حذف قانونی که قبلاً در UFW تنظیم کرده‌اید، می‌توانید از دستور ufw delete استفاده کنید. کافی است نوع قانون («allow» یا «deny») و مشخصات آن را وارد کنید. به عنوان مثال، برای حذف قانونی که به آدرس آیپی «10.10.10.3» اجازه دسترسی داده، می‌توانید دستور زیر را اجرا کنید:

ufw delete allow from 10.10.10.3

خروجی:

Rule deleted

حذف قانون با استفاده از شناسه (ID)

یکی دیگر از روش‌های حذف قوانین، استفاده از شناسه قانون (Rule ID) است. برای پیدا کردن شناسه قوانین فعال، می‌توانید دستور زیر را اجرا کنید:

ufw status numbered

خروجی نمونه:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] Anywhere                   DENY IN     10.10.10.1             
[ 2] Anywhere on eth0           ALLOW IN    10.10.10.4

در این خروجی، دو قانون فعال مشاهده می‌شود. قانون اول تمامی اتصالات ورودی از آدرس «10.10.10.1» را مسدود کرده است و قانون دوم به اتصالات ورودی از آدرس «10.10.10.4» به رابط eth0 اجازه دسترسی می‌دهد.

اگر قانون اول غیرضروری به نظر برسد (چون UFW به‌صورت پیش‌فرض تمام دسترسی‌های خارجی را مسدود می‌کند مگر اینکه صریحاً مجاز شده باشد)، می‌توانید آن را با استفاده از شناسه (ID) قانون حذف کنید:

ufw delete 1

بعد از اجرای این دستور، از شما خواسته می‌شود تا عملیات را تأیید کنید. برای تأیید، گزینه «y» را وارد کنید.

خروجی:

Deleting:
 deny from 10.10.10.1
Proceed with operation (y|n)? y
Rule deleted

فهرست پروفایل‌های موجود در UFW

زمانی که یک برنامه‌ای نصب می‌شود که نیاز به دسترسی شبکه دارد، معمولاً یک پروفایل در UFW برای آن تنظیم می‌شود. این پروفایل‌ها به شما کمک می‌کنند به‌راحتی و به‌طور خودکار دسترسی شبکه آن برنامه را مدیریت کنید. به جای استفاده از شماره پورت‌ها، این پروفایل‌ها از نام سرویس‌ها استفاده می‌کنند که کار با فایروال را ساده‌تر و کاربرپسندتر می‌کند. برای مشاهده لیست پروفایل‌های موجود، از دستور زیر استفاده کنید:

 ufw app list

خروجی نمونه:

Available applications:
  OpenSSH

اگر سرویسی مثل یک وب سرور یا نرم‌افزار وابسته به شبکه نصب کرده‌اید و پروفایلی در UFW برای آن ساخته نشده است، ابتدا مطمئن شوید که سرویس مربوطه فعال است. برای مثال، روی سرورهای راه دور معمولاً پروفایل OpenSSH به‌صورت پیش‌فرض در دسترس است.

فعال‌سازی پروفایل‌های UFW

برای فعال کردن یک پروفایل در UFW، از دستور ufw allow به همراه نام پروفایل استفاده کنید. نام پروفایل را می‌توانید با استفاده از دستور ufw app list پیدا کنید. به‌عنوان مثال، برای فعال کردن پروفایل OpenSSH که به اتصالات ورودی SSH اجازه دسترسی به پورت پیش‌فرض SSH را می‌دهد، دستور زیر را اجرا کنید:

ufw allow "OpenSSH"

خروجی:

Rule added
Rule added (v6)

نکته: زمانی که پروفایل‌هایی با چند کلمه (مثل Nginx HTTPS) دارید، حتماً از علامت‌های نقل قول استفاده کنید.

غیرفعال کردن پروفایل‌های UFW

اگر قبلاً یک پروفایل برنامه در UFW تعریف کرده‌اید و حالا می‌خواهید آن را غیرفعال کنید، باید قانون مربوطه را حذف کنید. مثلاً به این خروجی از دستور  ufw status توجه کنید:

ufw status

خروجی:

Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                               
Nginx Full                 ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)                   
Nginx Full (v6)            ALLOW       Anywhere (v6)

در اینجا پروفایل Nginx Full فعال است و به هر نوع ارتباط HTTP و HTTPS با وب‌سرور اجازه می‌دهد. اگر بخواهید تنها درخواست‌های HTTPS مجاز باشند، ابتدا باید پروفایل محدودتر یعنی Nginx HTTPS را فعال کرده و سپس قانون مربوط به Nginx Full را حذف کنید:

ufw allow "Nginx HTTPS"
ufw delete allow "Nginx Full"

برای دیدن همه پروفایل‌های برنامه‌های موجود، می‌توانید از دستور ufw app list استفاده کنید.

فعال کردن SSH

در کار با سرورهای راه دور، باز نگه‌داشتن پورت SSH برای اطمینان از دسترسی به سرور، اهمیت زیادی دارد. با دستور زیر، پروفایل OpenSSH در UFW فعال می‌شود و همه ارتباطات به پورت پیش‌فرض SSH سرور (معمولاً پورت ۲۲) مجاز خواهد بود:

ufw allow OpenSSH

خروجی:

Rule added
Rule added (v6)

اگر بخواهید مستقیماً پورت را مشخص کنید، می‌توانید از این دستور استفاده کنید:

ufw allow 22

خروجی:

Rule added
Rule added (v6)

با این تنظیمات، دسترسی‌های SSH شما تضمین شده و کنترل بهتری روی ارتباطات وب‌سرور خواهید داشت.

اجازه دسترسی به SSH از یک IP یا شبکه مشخص

اگر قصد دارید تنها از یک آدرس IP یا شبکه خاص، اتصال‌های ورودی SSH را فعال کنید، باید از دستور from برای مشخص کردن منبع اتصال استفاده کنید. همچنین، با پارامتر to آدرس مقصد را تعیین می‌کنید. برای اینکه این قانون فقط به SSH محدود شود، پروتکل tcp را مشخص کرده و با استفاده از پارامتر port، پورت ۲۲ (پورت پیش‌فرض SSH) را تنظیم می‌کنید. مثال زیر به اتصال‌های SSH از آدرس  10.10.10.3 دسترسی می‌دهد:

ufw allow from 10.10.10.3 proto tcp to any port 22

خروجی:

Rule Added

همچنین می‌توانید یک آدرس شبکه (subnet) را به عنوان پارامتر from تعریف کنید تا به کل شبکه اجازه دسترسی به اتصال‌های SSH داده شود:

ufw allow from 10.10.10.0/24 proto tcp to any port 22

خروجی:

Rule added

دسترسی به Rsync برای یک IP یا شبکه خاص

برنامه Rsync که روی پورت ۸۷۳ فعال است، برای انتقال فایل‌ها بین سیستم‌ها به کار می‌رود. برای ایجاد دسترسی به اتصال‌های ورودی Rsync از یک آدرس IP یا شبکه خاص، می‌توانید از پارامتر from برای تعیین آدرس منبع و از پارامتر port برای مشخص کردن پورت ۸۷۳ به عنوان مقصد استفاده کنید.
دستور زیر، تنها به اتصال‌های Rsync از آدرس آیپی 10.10.10.3 اجازه دسترسی می‌دهد:

ufw allow from 10.10.10.3 to any port 873

خروجی:

Rule Added

برای ایجاد دسترسی به کل شبکه 10.10.10.0/24 جهت استفاده از Rsync و اتصال به سرور، می‌توان از دستور زیر استفاده کرد:

ufw allow from 10.10.10.0/24 to any port 873

خروجی:

Rule added

با این تنظیمات، می‌توانید به دقت اتصال‌های SSH و Rsync را مدیریت کنید و فقط به آدرس‌ها یا شبکه‌های خاص اجازه دسترسی بدهید.

فعال کردن HTTP و HTTPS برای Nginx

زمانی که وب‌سرور Nginx نصب می‌شود، چندین پروفایل UFW را روی سرور تنظیم می‌کند. پس از نصب و فعال کردن سرویس Nginx، با اجرای دستور زیر می‌توانید پروفایل‌های موجود را مشاهده کنید:

ufw app list | grep Nginx

خروجی:

Nginx Full 
Nginx HTTP 
Nginx HTTPS

برای فعال کردن ترافیک HTTP و HTTPS به صورت همزمان، از پروفایل Nginx Full استفاده کنید. اگر فقط می‌خواهید HTTP یا HTTPS فعال باشد، به ترتیب از Nginx HTTP یا Nginx HTTPS استفاده کنید.

مثال زیر برای فعال کردن هر دو پروتکل HTTP و HTTPS (پورت‌های ۸۰ و ۴۴۳) استفاده می‌شود:

ufw allow "Nginx Full"

خروجی:

Rule added
Rule added (v6)

فعال کردن HTTP و HTTPS برای Apache

وقتی که وب‌سرور Apache نصب می‌شود، چندین پروفایل UFW روی سرور تنظیم می‌شود. پس از نصب و فعال کردن سرویس Apache، برای مشاهده پروفایل‌های موجود دستور زیر را اجرا کنید:

ufw app list | grep Apache

خروجی:

Apache 
Apache Full 
Apache Secur

برای فعال کردن هر دو پروتکل HTTP و HTTPS، از پروفایل Apache Full استفاده کنید. اگر فقط یکی از این دو پروتکل را می‌خواهید، به ترتیب از Apache (برای HTTP) یا Apache Secure (برای HTTPS) استفاده کنید.

مثال زیر برای فعال کردن هر دو پروتکل HTTP و HTTPS (پورت‌های ۸۰ و ۴۴۳) برای Apache استفاده می‌شود:

ufw allow "Apache Full"

خروجی:

Rule added
Rule added (v6)

فعال کردن HTTP (پورت ۸۰)

وب‌سرورهایی مانند Apache و Nginx معمولاً درخواست‌های HTTP را از طریق پورت ۸۰ مدیریت می‌کنند. اگر تنظیمات پیش‌فرض فایروال شما برای ترافیک ورودی به صورت Drop یا Deny باشد، نیاز به ایجاد یک قانون UFW دارید تا دسترسی به پورت ۸۰ مجاز شود. می‌توانید از شماره پورت یا نام سرویس (http) به‌عنوان پارامتر استفاده کنید.

برای فعال کردن همه اتصال‌های ورودی HTTP (پورت ۸۰)، دستور زیر را اجرا کنید:

ufw allow http

خروجی:

Rule added
Rule added (v6)

یک روش جایگزین استفاده از شماره پورت به صورت مستقیم است:

ufw allow 80

خروجی:

Rule added
Rule added (v6)

فعال کردن HTTPS (پورت ۴۴۳)

پروتکل HTTPS معمولاً از پورت ۴۴۳ استفاده می‌کند. اگر تنظیمات پیش‌فرض فایروال شما برای ترافیک ورودی به صورت Drop یا Deny باشد، نیاز است که یک قانون UFW ایجاد کنید تا دسترسی به پورت ۴۴۳ برای اتصال‌های HTTPS مجاز شود. شما می‌توانید از شماره پورت یا نام سرویس (https) به‌عنوان پارامتر استفاده کنید.

برای فعال کردن همه اتصال‌های ورودی HTTPS (پورت ۴۴۳)، دستور زیر را اجرا کنید:

ufw allow https

خروجی:

Rule added
Rule added (v6)

یک روش جایگزین استفاده از شماره پورت به صورت مستقیم است:

ufw allow 443

خروجی:

Rule added
Rule added (v6)

فعال کردن HTTP و HTTPS به‌صورت همزمان

اگر بخواهید هر دو پروتکل HTTP و HTTPS را به صورت همزمان فعال کنید، می‌توانید یک قانون واحد برای هر دو پورت ایجاد کنید. در این حالت باید پروتکل (proto) را نیز مشخص کنید که در اینجا باید روی tcp تنظیم شود.

برای فعال کردن همه اتصال‌های ورودی HTTP و HTTPS (پورت‌های ۸۰ و ۴۴۳)، دستور زیر را اجرا کنید:

ufw allow proto tcp from any to any port 80,443

خروجی:

Rule added
Rule added (v6)

فعال کردن دسترسی MySQL از یک آدرس IP یا شبکه خاص

MySQL روی پورت ۳۳۰۶ به درخواست‌های کلاینت‌ها گوش می‌دهد. اگر سرور MySQL شما توسط کلاینتی روی یک سرور راه دور استفاده می‌شود، باید یک قانون UFW برای مجاز کردن آن دسترسی ایجاد کنید.

برای مجاز کردن اتصال‌های ورودی MySQL از یک آدرس IP یا شبکه خاص، از پارامتر from برای مشخص کردن آدرس IP منبع و از پارامتر port برای تعیین پورت مقصد (۳۳۰۶) استفاده کنید.

دستور زیر به آدرس 10.10.10.3 اجازه می‌دهد تا به پورت MySQL سرور متصل شود:

ufw allow from 10.10.10.3 to any port 3306

خروجی:

Rule Added

برای مجاز کردن کل شبکه 10.10.10.0/24 جهت اتصال به سرور MySQL، دستور زیر را اجرا کنید:

ufw allow from 10.10.10.0/24 to any port 3306

خروجی:

Rule added

فعال کردن دسترسی PostgreSQL از یک آدرس IP یا شبکه خاص

PostgreSQL روی پورت ۵۴۳۲ به درخواست‌های کلاینت‌ها گوش می‌دهد. اگر سرور PostgreSQL شما توسط کلاینتی روی یک سرور راه دور استفاده می‌شود، باید ترافیک آن را مجاز کنید.

برای مجاز کردن اتصال‌های ورودی PostgreSQL از یک آدرس IP یا شبکه خاص، از پارامتر from برای مشخص کردن منبع و پورت ۵۴۳۲ استفاده کنید:

ufw allow from 10.10.10.3 to any port 5432

خروجی:

Rule added

برای مجاز کردن کل شبکه 10.10.10.0/24 جهت اتصال به سرور PostgreSQL، دستور زیر را اجرا کنید:

ufw allow from 10.10.10.0/24 to any port 5432

خروجی:

Rule added

مسدود کردن خروجی‌های SMTP

سرورهای ایمیل مانند Sendmail و Postfix معمولاً از پورت ۲۵ برای ترافیک SMTP استفاده می‌کنند. اگر نمی‌خواهید سرور شما ایمیل خروجی ارسال کند، ممکن است بخواهید این نوع ترافیک را مسدود کنید. برای مسدود کردن اتصال‌های خروجی SMTP، دستور زیر را اجرا کنید:

ufw deny out 25

خروجی:

Rule added
Rule added (v6)

این تنظیمات فایروال شما را طوری تنظیم می‌کند که همه ترافیک خروجی از پورت ۲۵ مسدود شود. اگر نیاز دارید اتصال خروجی دیگری را مسدود کنید، می‌توانید همین دستور را اجرا کرده و شماره پورت را تغییر دهید.

جمع‌بندی

فایروال UFW در لینوکس ابزاری کارآمد و ساده برای مدیریت ترافیک شبکه است. در این مقاله، به آشنایی با فایروال UFW پرداختیم و راهنمای جامعی برای این‌که چگونه UFW را در لینوکس کانفیگ کنیم ارائه دادیم. همچنین، با مراحل نصب و راه‌اندازی فایروال UFW در لینوکس آشنا شدیم و به کاربران اوبونتو نشان دادیم که آموزش فعال کردن UFW چطور انجام می‌شود. این راهنما به شما کمک می‌کند تا به سادگی فایروال خود را تنظیم و از امنیت سرور خود محافظت کنید.