כיצד להגדיר חומת אש בשרת אובונטו

פורסם: 15 בפברואר 2025 בשעה 21:35:29 UTC
עודכן לאחרונה: 12 בינואר 2026 בשעה 8:37:45 UTC

מאמר זה מסביר ומספק כמה דוגמאות כיצד להגדיר חומת אש ב-GNU/Linux באמצעות ufw, קיצור של Uncomplicated FireWall - והשם מתאים, זוהי באמת דרך קלה מאוד לוודא שאין לכם יותר פורטים פתוחים ממה שאתם צריכים.

עמוד זה תורגם במכונה מאנגלית על מנת להנגיש אותו לכמה שיותר אנשים. למרבה הצער, תרגום מכונה עדיין אינו טכנולוגיה משוכללת, ולכן עלולות להתרחש שגיאות. אם אתה מעדיף, תוכל לצפות בגרסה האנגלית המקורית כאן:

How to Set Up a Firewall on Ubuntu Server

המידע בפוסט הזה מבוסס על Ubuntu Server 14.04 x64. ייתכן שהוא תקף או לא תקף עבור גרסאות אחרות. (עדכון: אני יכול לאשר שהמידע בפוסט הזה עדיין תקף ופועל נכון ל-Ubuntu Server 24.04, אולם ב-10 השנים שחלפו מאז, ufw הפך ל"חכם" יותר בכך שהציג פרופילים עבור יישומי שרת נפוצים (לדוגמה, ניתן להפעיל "Nginx full" במקום פורטים 80 ו-443 בנפרד) והשבתה/הפעלה של חומת האש כולה כדי להחיל כללים חדשים כבר אינה הכרחית)

כשהתחלתי לעבוד עם שרתי GNU/Linux (אובונטו), הגדרת חומת אש כללה יצירה ותחזוקה ידנית של קובץ תצורה שעשוי להיות מורכב עבור iptables. עם זאת, לאחרונה גיליתי את ufw, שהוא קיצור של Uncomplicated Firewall - והוא באמת כזה :-)

בהתקנה שלי של Ubuntu Server 14.04 כבר היה ufw מותקן, אבל אם לא, פשוט התקן אותו מהמאגרים:

sudo apt-get install ufw

UFW הוא למעשה רק כלי שמפשט את הגדרת ה-iptables – מאחורי הקלעים, עדיין iptables וחומת האש של ליבת לינוקס מבצעים את הסינון, כך ש-ufw אינו פחות מאובטח ואינו מאובטח יותר מאלה. עם זאת, מכיוון ש-ufw מקל בהרבה על הגדרת חומת אש נכונה, הוא עשוי להפחית את הסיכון לטעויות אנוש ולכן הוא אולי מאובטח יותר עבור מנהלים חסרי ניסיון.

אם השרת שלך מוגדר עם IPv6 וגם עם IPv4, ודא שזה מופעל גם עבור UFW. ערוך את הקובץ /etc/default/ufw וחפש שורה שאומרת IPV6=yes. בהתקנה שלי זה כבר היה שם, אבל אם זה לא או אם כתוב שלא, עליך לערוך את זה.

לאחר מכן, פשוט השתמשו בשורת הפקודה כדי להפעיל את הפורטים שברצונכם לפתוח. אם אתם מחוברים לשרת שלכם דרך SSH, ודאו שאתם מאפשרים גם את זה, אחרת זה עלול לשבש את החיבור שלכם ואולי לנעול אתכם מחוץ לשרת כשאתם מפעילים אותו - תלוי אם יש לכם גישה פיזית לשרת או לא, זה עלול להיות קצת לא נוח ;-)

לדוגמה, אם אתם משתמשים ב-ssh בפורט הסטנדרטי 22 ואתם מגדירים שרת אינטרנט התומך בחיבורים לא מוצפנים (HTTP בפורט 80) וגם בחיבורים מוצפנים (HTTPS בפורט 443), תוציאו את הפקודות הבאות כדי להגדיר את ufw:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

אם אתם זקוקים לעוד כללים, פשוט הוסיפו אותם כפי שצוין לעיל.

אם יש לך כתובת IP סטטית ואתה צריך להתחבר דרך SSH רק ממיקום אחד, אתה יכול גם להגביל חיבורי SSH לכתובת מקור אחת כך:

sudo ufw allow from 192.168.0.1 to any port 22

כמובן, הזן במקום זאת את כתובת ה-IP שלך.

לאחר שתסיים, הפעל את ufw על ידי הזנת:

sudo ufw enable

וסיימת! חומת האש פועלת ותתחיל לפעול אוטומטית לאחר שתאתחל את השרת :-)

אם תבצעו שינויים בתצורת ufw, ייתכן שתצטרכו להשבית אותה ולהפעיל אותה שוב כדי להפעיל אותה, כך:

sudo ufw disable
sudo ufw enable

כדי להסתכל על התצורה הנוכחית, פשוט הזן:

sudo ufw status

אם ufw אינו מופעל, פעולה זו פשוט תציג הודעה "לא פעיל", אחרת היא תפרט את הכללים המוגדרים כעת.