Kako postaviti vatrozid na Ubuntu poslužitelju

Objavljeno: 15. veljače 2025. u 21:37:47 UTC
Zadnje ažuriranje: 12. siječnja 2026. u 08:38:02 UTC

Ovaj članak objašnjava i daje neke primjere kako postaviti vatrozid na GNU/Linuxu pomoću ufw, što je skraćenica za Nekomplicirani vatrozid - i naziv je prikladan, to je zaista vrlo jednostavan način da se uvjerite da nemate otvoreno više portova nego što vam je potrebno.

Ova je stranica strojno prevedena s engleskog kako bi bila dostupna što većem broju ljudi. Nažalost, strojno prevođenje još nije usavršena tehnologija pa se mogu pojaviti pogreške. Ako želite, izvornu englesku verziju možete pogledati ovdje:

How to Set Up a Firewall on Ubuntu Server

Informacije u ovom postu temelje se na Ubuntu Serveru 14.04 x64. Mogu, ali i ne moraju biti važeće za druge verzije. (Ažuriranje: Mogu potvrditi da su informacije u ovom postu u osnovi još uvijek važeće i funkcionalne od Ubuntu Servera 24.04, međutim u posljednjih 10 godina, ufw je postao donekle "pametniji" jer ima profile za uobičajene poslužiteljske aplikacije (na primjer, možete omogućiti "Nginx full" umjesto zasebno portova 80 i 443) i više nije potrebno onemogućavanje/omogućavanje cijelog vatrozida za primjenu novih pravila).

Kad sam tek počeo s GNU/Linux (Ubuntu) serverima, postavljanje vatrozida uključivalo je ručno stvaranje i održavanje potencijalno složene konfiguracijske datoteke za iptables. Međutim, nedavno sam otkrio ufw, što je skraćenica za Nekomplicirani vatrozid (Uncomplicated Firewall) – i stvarno jest :-)

Moja instalacija Ubuntu Servera 14.04 već je imala instaliran ufw, ali ako vaša nema, jednostavno ga instalirajte iz repozitorija:

sudo apt-get install ufw

UFW je zapravo samo alat koji pojednostavljuje konfiguraciju iptablesa - iza kulisa, i dalje su iptables i Linux kernel firewall ti koji filtriraju, tako da ufw nije ni manje ni sigurniji od njih. Međutim, budući da ufw znatno olakšava ispravnu konfiguraciju firewalla, može smanjiti rizik od ljudske pogreške i stoga je moguće sigurniji za neiskusne administratore.

Ako je vaš poslužitelj konfiguriran s IPv6 kao i s IPv4, provjerite je li to omogućeno i za UFW. Uredite datoteku /etc/default/ufw i potražite redak koji kaže IPV6=yes. U mojoj instalaciji već je bio tamo, ali ako nije ili ako piše ne, trebali biste ga urediti.

Zatim jednostavno upotrijebite naredbeni redak za omogućavanje portova koje želite otvoriti. Ako ste spojeni na poslužitelj putem ssh-a, svakako omogućite i to jer bi to moglo prekinuti vezu i moguće vas zaključati s poslužitelja kada ga aktivirate - ovisno o tome imate li fizički pristup poslužitelju ili ne, ovo može biti pomalo nezgodno ;-)

Na primjer, ako koristite ssh na standardnom portu 22 i konfigurirate web poslužitelj koji podržava i nešifrirane (HTTP na portu 80) i šifrirane (HTTPS na portu 443) veze, trebali biste izdati sljedeće naredbe za konfiguriranje ufw-a:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Ako vam je potrebno više pravila, jednostavno ih dodajte kao što je gore navedeno.

Ako imate statičku IP adresu i trebate se moći povezati putem ssh-a samo s jedne lokacije, možete ograničiti ssh veze na jednu izvornu adresu ovako:

sudo ufw allow from 192.168.0.1 to any port 22

Naravno, umjesto toga unesite vlastitu IP adresu.

Kada završite, omogućite ufw unosom:

sudo ufw enable

I gotovi ste! Vatrozid je pokrenut i automatski će se pokrenuti kada ponovno pokrenete poslužitelj :-)

Ako napravite promjene u konfiguraciji ufw-a, možda ćete ga morati onemogućiti i ponovno omogućiti da bi promjene stupile na snagu, ovako:

sudo ufw disable
sudo ufw enable

Za pregled trenutne konfiguracije, jednostavno unesite:

sudo ufw status

Ako ufw nije omogućen, prikazat će se samo poruka "neaktivno", inače će se prikazati trenutno definirana pravila.