Без взаємодії з приватними мережами

Можуть виникнути проблеми, коли раптом надходять скарги від дата-центру про сканування приватних мереж, хоча ви не робили це навмисно. Ми можемо заблокувати всі приватні мережі, щоб вирішити цю проблему.

Установка ufw

Спочатку перевірте наявність ufw на вашому сервері:

sudo apt install ufw

Далі, перед увімкненням, слід вказати важливі налаштування, щоб не втратити доступ до сервісів. Дозвольте порти SSH, HTTP, HTTPS:

sudo ufw allow 22
sudo ufw allow 80
sudo ufw allow 443

Увімкнемо наш фаєрвол:

sudo ufw enable

Далі ми можемо перевірити стан фаєрволу:

sudo ufw status

Блокування приватних мереж

Все добре! Тепер перейдемо до блокування приватних мереж. До них належать:

Блокуємо їх за допомогою команд:

sudo ufw deny out from any to 10.0.0.0/8
sudo ufw deny out from any to 172.16.0.0/12
sudo ufw deny out from any to 192.168.0.0/16
sudo ufw deny out from any to 100.64.0.0/10
sudo ufw deny out from any to 198.18.0.0/15
sudo ufw deny out from any to 169.254.0.0/16

Після додавання можемо знову перевірити стан правил:

sudo ufw status

# Або за допомогою iptables:
iptables-save

Тепер, якщо ми спробуємо отримати доступ до адреси приватної мережі, отримаємо помилку. Наприклад, за допомогою команди ping:

ping 198.18.22.62

Готово!

Розблокування мереж (за необхідності)

Перевірте список поточних правил ufw разом з їх нумерацією:

sudo ufw status numbered

Тепер можемо видалити необхідне правило за допомогою команди:

sudo ufw delete <номер правила>

Наприклад, видалимо правило 7:

sudo ufw delete 7

Тепер немає обмежень при спробі повторного доступу до 198.18.22.62.

Дякуємо за ознайомлення! Тепер ви знаєте, як закрити (і відкрити) доступ до вашого сервера для приватних мереж за допомогою ufw.