Как настроить фаервол (UFW) на VPS

/ Статьи

После аренды виртуального сервера (VPS) первым шагом должно стать обеспечение его безопасности. Даже для тестовых проектов оставлять сервер полностью открытым — рискованно. UFW (Uncomplicated Firewall) предлагает простой способ настроить межсетевой экран, используя интуитивно понятные команды вместо сложных правил iptables.

В этом руководстве мы рассмотрим, зачем нужен фаервол, как работает UFW, и выполним базовую настройку по шагам.

Если у вас еще нет виртуального сервера, его можно арендовать у проверенных провайдеров из нашей подборки надежных VPS серверов.

 Перейти

Зачем использовать UFW?

VPS доступен в сети 24/7, что привлекает не только легитимных пользователей, но и автоматические сканеры злоумышленников. Без фаервола сервер:

  • принимает подключения ко всем открытым портам;
  • становится мишенью для брутфорс-атак на SSH;
  • подвержен эксплуатации уязвимостей в неиспользуемых службах.

UFW решает эти проблемы, разрешая только необходимые соединения (например, для веб-сервера и SSH), а остальной трафик блокируя.

Как работает UFW?

UFW — это упрощённый интерфейс для управления iptables (или nftables в новых системах). Его ключевые принципы:

  1. Запрет всего по умолчанию — все входящие подключения блокируются, если явно не разрешены.
  2. Точечные разрешения — команда вроде ufw allow 80/tcp открывает только порт 80.
  3. Свободный исходящий трафик — сервер может беспрепятственно обращаться к внешним ресурсам.

Правила применяются последовательно: более конкретные (например, разрешение с определённого IP) имеют приоритет над общими.

Быстрая настройка UFW

  1. Установка (если не предустановлен): 
    sudo apt update
sudo apt install ufw -y
  2. Разрешение SSH (чтобы не потерять доступ): 
    sudo ufw allow ssh

    Если SSH работает на нестандартном порте (например, 2222):

    sudo ufw allow 2222/tcp
  3. Открытие необходимых портов:
    • Для веб-сервера: 
      sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
    • Для доступа к БД с определённого IP (пример): 
      sudo ufw allow from 192.168.1.100 to any port 3306
  4. Активация фаервола: 
    sudo ufw enable

    Проверяем правила:

    sudo ufw status verbose

Если у вас еще нет виртуального сервера, его можно арендовать у проверенных провайдеров из нашей подборки надежных VPS серверов.

 Перейти

Полезные команды:

  • Удалить правило: sudo ufw delete allow 80/tcp
  • Запретить IP: sudo ufw deny from 203.0.113.45
  • Включить логирование: sudo ufw logging on

Рекомендации по безопасности:

  1. Минимизируйте открытые порты — оставляйте только необходимые для работы сервисов.
  2. Используйте нестандартный порт для SSH — это снизит количество автоматических атак.
  3. Ограничивайте доступ по IP — для SSH или панели управления разрешайте подключения только с доверенных адресов.
  4. Проверяйте используемые порты перед настройкой: 
    ss -tuln
  5. Дополните защиту Fail2Ban — для автоматической блокировки IP при подозрительной активности.
  6. Сохраняйте правила — командой sudo ufw status numbered можно создать резервную копию конфигурации.
  7. Тестируйте доступ — перед закрытием текущей SSH-сессии убедитесь, что новые подключения работают.
  8. Учитывайте Docker/VPN — эти сервисы могут вносить свои правила в iptables; настройки UFW могут потребовать корректировки.

Итог

UFW позволяет быстро и без сложностей повысить безопасность VPS. Для большинства задач достаточно открыть порты для SSH, HTTP и HTTPS, а остальной трафик заблокировать. Дополнительные правила добавляются по мере необходимости, а в связке с Fail2Ban и логированием система получит эффективную защиту от большинства автоматических атак.

Если у вас еще нет виртуального сервера, его можно арендовать у проверенных провайдеров из нашей подборки надежных VPS серверов.

 Перейти