1. HOME
  2. サーバ・インフラ
  3. #SSH・UFW
  4. Ubuntu20.04 UFW「Uncomplicated FireWalⅼ」の設定

2023年10月7日

Ubuntu20.04 UFW「Uncomplicated FireWalⅼ」の設定

宮島弥山の遊歩道を歩く
宮島弥山の遊歩道を歩く



皆さん,こんにちは。

10月になると,暑かった夏が朝晩めっきり冷え込むようになってきました。著しい寒暖差の中で体調を維持するのは大変ですね。皆さんもどうかご自愛ください。今月からはインボイスも始まります。どんな影響があるか分かりませんが,どうであろうと頑張って生きて行くしかないですね。

さて,前回はUbuntuサーバへのSSH接続について説明しました。今回は,Ubuntuの付属ソフトであるUFWの設定について記述します。

UFWとは「Uncomplicated FireWal」の略称で,ファイアーウォールである「iptables」を簡単に設定できるセキュリティツールです。UFWを利用することで、「外部からの接続は基本的に受け付けない」とか「SSHだけは許す」などといった設定を簡単に実現できます。クラウドサーバは,最初は全ポートについてアクセスできるようになっていますが,それでは必要のないポートまで外部インターネットに晒すことになりますので,出来れば必要最小限のポートについてアクセスを許可することをお勧めします。

前提スペックは,以下のとおりです。

OS       Ubuntu 20.04
サーバ形態    VPS
サーバスペック  3CPU,メモリ2GBSSDは50GB

インターネットをググれば天才的な専門家がいくらでも教えてくれますので,要点のみ記述します。


  UFWの起動

まずは,TeraTermを使ってユーザログインを行ってください。ホームディレクトリ「$表示」にログイン出来た段階で,以下のコマンドを打ってUFWの状態(ステータス)を確認します。

コード

sudo ufw status

起動していない場合は「Status: inactive」と出力されます。UFWを有効にする場合は,次のコマンドを入力します。

コード

sudo ufw enable

この時,操作を続行しますか(y/n) ?と聞いてきますので,必ず「y」としてください。SSHでログインしている場合,このままログアウトすると再度ログインできなくなる場合があるので注意です。有効化した後,再度,状態(ステータス)を確認します。

コード

sudo ufw status

起動していれば「Status: active」と出力されます。


  ポート番号の許可と削除およびIPV6の無効化

UFWは既に「default」が拒否「deny」になっている場合もありますが,一応,次のコマンドでサーバへのアクセスを「default」で拒否「deny」にします。

コード

sudo ufw default deny

続いて,許可するポート番号を入力して行きます。まずは,SSHの22番を許可して下さい。

コード

sudo ufw allow 22

ここでポート番号以外に通信プロトコルを指定しない場合は,TCPとUDPのどちらも許可されます。また,IPv4とIPv6の両方が許可されます。

TCPだけを許可したい場合は,

コード

sudo ufw allow 22/tcp

と入力します。UDPを許可したい場合は,tcpをudpに置き換えてください。

次に,許可したポート番号を削除する場合ですが,ポート番号の許可ルールは,それ自体が番号なので,それを削除しようとしても削除できません。そのため,UFWが独自に持つ許可ルールの番号を表示させその番号を削除させることで対応します。まずは,次のコマンドを入力します。

コード

sudo ufw status numbered

これにより許可ルールの番号が表示されますので,その番号を指定して,ポート番号の許可を取り消します。

コード

sudo ufw delete  10

上記例は,許可ルールの番号10を取り消すコマンド例です。

次に,Ipv6を無効化したい場合は,「/etc/default/ufw」ファイルの中の設定を次のように変更してください。「IPv6=yes」となっているところを「IPV6=no」に変更します。なお,このファイルは,root権限ファイルになっていますので注意してください。


  UFWのリロード

一連の作業が終わったら,次のコマンドを入力してください。

コード

sudo ufw reload

  UFWの停止

次にUFWを停止する場合ですが,次のコマンドを入力してください。

コード

sudo ufw disable

これで次のコマンドでステータスを確認すれば

コード

sudo ufw status

停止していれば「Status: inactive」と出力されるはずです。


  まとめ

ここまでで,UFWによって特定のポート番号のみを許可することができました。どのポート番号を許可する必要があるかは,利用者の意図によりますが,気をつけて頂きたいのは,メールのポート番号を許可し忘れることがあることです。

【参考】Web系  22,80,443等

    メール系 25,110,143,465,587,993,995等

次回は,いよいよApache2のインストールに言及します。UFWにApacheを許可する設定が必要ですが,その設定はApache2のインストールで記述いたします。


(注意)情報の正確性を期していますが,実施される場合には自己責任でお願いします。

Labels: ,

0 件のコメント:

コメントを投稿