Kuidas Ubuntu serveris tulemüüri seadistada

Avaldatud: 15. veebruar 2025, kell 21:33:36 UTC
Viimati uuendatud: 12. jaanuar 2026, kell 08:36:58 UTC

See artikkel selgitab ja toob näiteid, kuidas seadistada tulemüüri GNU/Linuxis, kasutades ufw-d, mis on lühend sõnadest Uncomplicated FireWall – ja nimi on sobiv, see on tõesti väga lihtne viis veendumaks, et sul poleks avatud rohkem porte kui vaja.

See lehekülg on inglise keelest masintõlgitud, et muuta see võimalikult paljudele inimestele kättesaadavaks. Kahjuks ei ole masintõlge veel täiuslik tehnoloogia, mistõttu võivad esineda vead. Kui soovite, võite vaadata ingliskeelset originaalversiooni siin:

How to Set Up a Firewall on Ubuntu Server

Selle postituse teave põhineb Ubuntu Server 14.04 x64-l. See võib kehtida või mitte kehtida ka teiste versioonide puhul. (Uuendus: võin kinnitada, et selle postituse teave on põhimõtteliselt endiselt kehtiv ja funktsionaalne Ubuntu Server 24.04 seisuga, kuid viimase 10 aasta jooksul on ufw mõnevõrra "targemaks" muutunud, kuna sellel on profiilid tavaliste serverirakenduste jaoks (näiteks saate lubada "Nginx täisversiooni" portide 80 ja 443 eraldi asemel) ning kogu tulemüüri keelamine/lubamine uute reeglite rakendamiseks pole enam vajalik.)

Kui ma esimest korda GNU/Linuxi (Ubuntu) serveritega alustasin, hõlmas tulemüüri seadistamine iptables'i potentsiaalselt keeruka konfiguratsioonifaili käsitsi loomist ja haldamist. Hiljuti avastasin aga ufw, mis on lühend sõnadest Uncomplicated Firewall – ja see tõesti ongi nii :-)

Minu Ubuntu Server 14.04 installis oli ufw juba installitud, aga kui sinu oma seda pole, siis installi see lihtsalt hoidlatest:

sudo apt-get install ufw

UFW on tegelikult lihtsalt tööriist, mis lihtsustab iptables'i seadistamist – kulisside taga teevad filtreerimist endiselt iptables ja Linuxi kerneli tulemüür, seega pole ufw neist ei vähem ega rohkem turvalisem. Kuna ufw muudab tulemüüri õigesti seadistamise palju lihtsamaks, võib see vähendada inimlike vigade ohtu ja on seetõttu kogenematute administraatorite jaoks tõenäoliselt turvalisem.

Kui teie server on konfigureeritud nii IPv6 kui ka IPv4 abil, veenduge, et see oleks lubatud ka UFW jaoks. Redigeerige faili /etc/default/ufw ja otsige rida, mis ütleb IPV6=yes. Minu installis oli see juba olemas, aga kui seda pole või kui see ütleb ei, peaksite seda muutma.

Seejärel kasutage lihtsalt käsurealt soovitud portide avamiseks lubamist. Kui olete serveriga ühendatud SSH kaudu, lubage kindlasti ka see, vastasel juhul võib see teie ühendust häirida ja teid serverist välja lukustada, kui selle aktiveerite – olenevalt sellest, kas teil on serverile füüsiline juurdepääs või mitte, võib see olla üsna ebamugav ;-)

Näiteks kui kasutate ssh-d standardsel pordil 22 ja konfigureerite veebiserverit, mis toetab nii krüpteerimata (HTTP pordil 80) kui ka krüpteeritud (HTTPS pordil 443) ühendusi, peaksite ufw konfigureerimiseks andma järgmised käsud:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Kui vajate rohkem reegleid, lisage need lihtsalt ülaltoodud viisil.

Kui teil on staatiline IP-aadress ja vajate SSH-ühenduse loomist ainult ühest asukohast, saate piirata SSH-ühendusi ühe lähtekoha aadressiga, näiteks järgmiselt:

sudo ufw allow from 192.168.0.1 to any port 22

Loomulikult sisestage hoopis oma IP-aadress.

Kui olete lõpetanud, lubage ufw, sisestades:

sudo ufw enable

Ja oledki valmis! Tulemüür töötab ja käivitub automaatselt serveri taaskäivitamisel :-)

Kui teete ufw konfiguratsioonis muudatusi, peate nende jõustumiseks selle keelama ja uuesti lubama, näiteks järgmiselt:

sudo ufw disable
sudo ufw enable

Praeguse konfiguratsiooni vaatamiseks sisestage lihtsalt:

sudo ufw status

Kui ufw pole lubatud, kuvatakse lihtsalt teade „mitteaktiivne”, vastasel juhul loetletakse praegu määratletud reeglid.