Эта статья - небольшой howto, по достаточно простому в освоении - брандмауэру UFW, который, кстати, используется в backtrack4.

Большая часть этой информации взята из man страниц ufw.
В сети существуют множество других руководств. Существует также GUI оболочка, о ней мы поговорим в конце статьи.
UFW это front end оболочка для под iptables.

Итак, для начала настройки ufw, перейдем к командной строке.

root@bt:~# ufw
 
Usage: ufw COMMAND
Commands:
enable                        enables the firewall
disable                       disables the firewall
default ARG                   set default policy to ALLOW or DENY
logging ARG                   set logging to ON or OFF
allow|deny RULE               allow or deny RULE
delete allow|deny RULE        delete the allow/deny RULE
status                        show firewall status
version                       display version information
Application profile commands:
app list                      list application profiles
app info PROFILE              show information on PROFILE
app update PROFILE            update PROFILE
app default ARG               set profile policy to ALLOW, DENY or SKIP
 
root@bt:~#

Давайте рассмотрим некоторые флаги настройки ufw. Флаги enable/disable, говорят сами за себя, они позволяют включить или отключить брандмауэр.

# ufw enable

Вернемся в консоль.

root@bt:~# ufw enable
Firewall started and enabled on system startup
root@bt:~#

Нам нужно перезагрузить систему, чтобы убедиться, что брандмауэр включается при загрузке. Статус должен быть [OK]. Теперь взглянем на правила по умолчанию: разрешения(Allow) и запрета(Deny). Разрешающее правило будет принимать весь трафик, что равнозначно отсутствию брандмауэра, это не лучший вариант. Запрещающее правило блокирует весь входящий трафик, но разрешает исходящий, при минимальной настройке это лучшее решение. Вот как это выглядит в консоле.

root@bt:~# ufw default deny
Default policy changed to 'deny'
(be sure to update your rules accordingly)
root@bt:~#

Комментирование наших действий и подсказки выводится в консоль каждый раз после введения команды. Чтобы отслеживать наши действия и работу брандмауэра, включим логирование.

#ufw logging on
logging enabled

Журналы можно найти в /var/log/messages лобо /kern.log и /syslog. Отдельного журнала для ufw не существует. Информацию по работе ufw вы можете получать используя grep.

#grep ufw /var/log/syslog

Давайте вновь вернемся к правилам но уже для создания на основе портов и протоколов, здесь также два правила: разрешающее(Allow) и запрещающее(deny).

# ufw allow 80
rule updated

Теперь порт 80 протокола http открыт. Закроем его следующей командой.

# ufw deny 80

Одно из этих правил разрешило, другое запретило входящий трафик по протоколам TCP и UDP. Протокол в правиле мы можем указать, например, так 80/tcp. При удалении правила политика вернется к той, которая была задана нами по умолчанию. Более сложные правила можно задействовать таким же образом. Например, чтобы разрешить соединения с определенного IP, мы можем создать следующее правило.

# ufw allow from 192.168.1.100

Вместе с разрешенным адресом, вы так же можете указать разрешенный порт и протокол для этого адреса.

#ufw allow from 192.168.1.1 to any port 22

Это правило разрешит доступ с IP адреса 192.168.1.1 к порту 22 по протоколам TCP и UDP. Если же цель разрешить доступ только по протоколу TCP, добавляете к номеру порта /tcp.

#ufw allow from 192.168.1.1 to any port 22/tcp

В правилах брандмауэра, можно задействовать маски подсети. Давайте теперь разберемся с сервисами. Подробную информацию о сервисах вы сможете получить из файла /etc/services.

#cat /etc/services

Например, нам нужно разрешить telnet, для этого командуем.

# ufw allow telnet

Все просто, однако не забудьте, что этот сервис должен быть запущен на хосте. Возможно иногда, лучшим вариантом будет использование флага —dry-run, которое не вносит изменения в правила, а позволяет протестировать, как бы работало новое правило.
Например:

#ufw --dry-run deny ssh

Если правило не будет работать или в правиле не верный синтаксис, вы увидите источник проблемы.
Кроме того, при первичной настройке, не лишним будет поглядывать в man, ufw поддерживает больше правил и приложений.
Следующее, что мы рассмотрим, это добавление gui интерфейса(если это необходимо).
Здесь ссылка на загрузку deb пакета:
http://gufw.tuxfamily.org/latest-ufw-deb.html
Установить его можно командой:

#dpkg -i gufw_0.0.7c-all.deb

На этом краткий how to по настройке ufw можно считать завершенным.

Источник: http://forums.remote-exploit.org

Перевод: Э_L_A_Y