Настройка ufw в Ubuntu

ufw расшифровывается как Uncomplicated Firewall (Несложный брандмауэр).

Если ufw не установлен в системе, то установим командой:

sudo aptitude install ufw

Команда активация ufw в системе, он будет также включен при каждом запуске системы:

sudo ufw enable

Если ufw не запустится после перезапуска системы, то отредактируем ENABLED=no на ENABLED=yes в файле:

sudo nano /etc/ufw/ufw.conf

Для отключения используется:

sudo ufw disable

Запрет всех входящих соединений:

sudo ufw default deny

Чтобы разрешить доступ для подсети или адреса:

sudo ufw allow from 10.0.0.0/24

Чтобы вновь разрешить все входящие соединения:

sudo ufw default allow

Разрешение подключения по SSH из вне:

sudo ufw allow ssh

Пример разрешения доступа на конкретный порт:

sudo ufw allow 80/tcp

Просмотр статуса:

sudo ufw status
sudo ufw status verbose

Отключение ведения логов:

sudo ufw logging off

Просмотр профилей для приложений:

sudo ufw app list

Файлы настроек находятся в /etc/default/ufw и /etc/ufw/applications.d

Просмотр официальной документации:

man ufw

Смотрите также мою статью — Настройка IPTables

Блокировка социальных сетей на маршрутизаторах Mikrotik

Запретить доступ к социальным сетям и прочим сайтам на маршрутизаторах Mikrotik можно несколькими способами.

Первый и наиболее эффективный

способ, это включить web-proxy, запретить в нем конкретные сайты, в фаерволе во вкладке NAT добавить правило которое будет нужные IP направлять на web-proxy.
Добавляется правило в IP — Firewall — NAT (Chain: dstnat, protocol: tcp, Dst. port: 80, Action: redirect, To Ports: 8080, в Src. Address или Src. Address List указываем кого необходимо направить на Web proxy)
Включаем Web proxy поставив галочку в IP — Web proxy — Enabled, смотрим чтобы порт был 8080.
Добавляем сайты которые нужно заблокировать в IP — Web proxy — Access (например Dst. host: vk.com, Action: deny)

Второй и один из простых

это добавить статическую DNS запись, тогда все кто подключены к маршрутизатору не смогут зайти на сайт.
Для этого необходимо нажать «IP» — «DNS» — «Add New», в поле «Name» указать домен сайта, в «Address» — 127.0.0.1.
Пример добавления через командную строку:

ip dns static add name youtube.com address=127.0.0.1
ip dns static add name www.youtube.com address=127.0.0.1
ip dns static add name name=".*\.vk\.com" address=127.0.0.1

Команда просмотра статических DNS записей на маршрутизаторе:

ip dns static print

Однако этот запрет можно обойти прописав вручную на компьютерах сторонний DNS сервер, например Google DNS — 8.8.8.8 и 8.8.4.4.

Третий вариант

это посмотреть на каких ip-адресах находится сайт, например набрав в командной строке Windows команду nslookup vk.com, потом в фаерволе заблокировать доступ к ним для всех пользователей или конкретным. Вместо кучи ip адресов можно указать подсеть, например 87.240.131.0/24 (это ip 87.240.131.1-254). На сайтах типа «http://bgp.he.net/AS47541#_prefixes» можно посмотреть диапазоны IP адресов принадлежащие AS компании.
Пример команд:

ip firewall filter add chain=forward src-address-list=socialnetworks action=drop comment="Social Network" disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.97 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.103 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.117 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.120 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.245 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.246 disabled=no

Четвертый вариант

через протокол седьмого уровня (все пакеты в которых будут встречаться указанные выражения будут отбрасываться, таким образом могут блокироваться даже сообщения в чате, в которых встречаются выражения):

ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|youtube|loveplanet).*\$"
ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=social src-address-list=Block_social

Смотрите также мои статьи:
Блокировка социальных сетей на Cisco
Блокировка социальных сетей используя iptables

Запрет доступа в интернет на маршрутизаторах Mikrotik

Чтобы запретить доступ в интернет определенным ip-адресам во внутренней сети, необходимо в настройках маршрутизатора нажать «IP» -> «Firewall«, во вкладке «Filter Rules» добавить новые правила нажав «Add New» или «+«.

В открывшемся окне указать следующие основные параметры:
Chain: forward
Src. Address: например ip адрес 192.168.88.200 или подсеть 192.168.88.240/29 которым необходимо запретить доступ в интернет и разрешить доступ во внутренней сети. Вместо IP можно указать MAC-адрес в Src. MAC Address.
Dst. Address: например 192.168.88.0/24 (маска подсети /24 означает диапазон 192.168.88.1 до 192.168.88.254)
Action: accept
Это правило разрешает хождение пакетов к указанному диапазону ip (Dst. Address), то есть во внутренней сети.
Также во вкладке «IP» — «DHCP Server» — «Leases», если в правилах используется IP, необходимо статически зарезервировать IP адреса к MAC адресам компьютеров, для которых прописаны правила в фаерволе чтобы они получали по DHCP один и тот же IP.

Следующее правило запрещает для указанного IP, MAC-адреса или подсети весь остальной трафик который не указан в разрешающих правилах.
Chain: forward
Src. Address: или Src. MAC Address: тот же что и в разрешающем правиле
Action: drop

В списке правил фаервола также необходимо убедится что разрешающие правила находятся перед запрещающими.
Все.

Проброс портов на маршрутизаторах Mikrotik

Чтобы пробросить порт на маршрутизаторе Mikrotik, необходимо открыть меню «IP»«Firewall», выбрать вкладку «NAT» и добавить новое правило нажав «Add new» или «+«.

Читать далее «Проброс портов на маршрутизаторах Mikrotik»

Установка и использование Firewall Builder (fwbuilder)

Firewall Builder — утилита позволяющая легко подготовить правила для множества брандмауэров, например iptables, ipfw, acl для HP, Cisco и т.д.

Утилиту можно fwbuilder запускать как под Windows так и Linux, в Linux когда она установлена ее можно запускать из меню или набрав команду fwbuilder.

В Linux Ubuntu fwbuilder можно установить скачав его по ссылке http://sourceforge.net/projects/fwbuilder/files/Current_Packages/ и запустив скачанный файл либо через консоль, например командой:
dpkg -i fwbuilder_5.1.0.3599-ubuntu-precise-1_amd64.deb

Инструкцию по использованию fwbuilder для dd-wrt можно посмотреть на официальном сайте http://www.dd-wrt.com/wiki/index.php/Firewall_Builder

Настройка удаленного доступа в маршрутизаторах Mikrotik

Открыть «IP» — «Firewall» — вкладку «Filter Rules».
Нажать «Add new» для добавления нового правила.

Читать далее «Настройка удаленного доступа в маршрутизаторах Mikrotik»

Настройка IPTables

IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра).

Читать далее «Настройка IPTables»