最近想試試看 wireguard,看了文件,都會提到用 ufw/firewalld 來配置網路,就想說,自家的 archlinux 都沒用防火牆,是不是該來用一下比較好。經過找 archlinux 文件以後,發現 archlinux 其實很自由,可以自由選 firewalld 或 ufw。在公司因為用 RHEL8 ,都是用 firewalld ,為了平衡一下還有家裡的其他電腦,決定就用 debian/ubuntu 的 ufw 。
ufw 的全名是 Uncomplicated firewall ,archlinux wiki 裡就有詳細的說明文件:https://wiki.archlinux.org/title/Uncomplicated_Firewall
安裝方法
用 yay 或 pacman 安裝
yay -S ufw設定
安裝好以後,先不要啟用,要先設定。
sudo ufw default allow outgoing
sudo ufw default deny incoming
sudo ufw allow ssh這幾行的意思是說,允許出去,禁止進來,只允許 ssh 服務的連線進來。
接著啟用
sudo ufw enable
sudo systemctl enable --now ufw然後可以用 sudo systemctl status ufw 跟 sudo ufw status 檢查狀態。
接下來因為自己有用 http/https/gitlab/samba/squid 服務,也有使用 docker,所以要額外設置。
先允許 http/https 連線。
sudo ufw allow http
sudo ufw allow https設置 docker 規則,docker 的部份有人寫好了,所以安裝套件以後再啟用即可。(ufw and docker),啟用以後,docker 容器有 expose 的 port 就會自動 allow。
yay -S ufw-docker
sudo ufw-docker install再來是 samba,這也是有人寫好套件
yay -S ufw-extras
sudo ufw allow from 192.168.11.0/24 to any app samba最後是 squid
sudo ufw allow from 192.168.11.0/24 to any port 3128 proto tcp到這邊就設定完了,沒遇到什麼特別狀況。
沒有留言:
張貼留言