Ubuntu付属のファイアウォール。

• 公式 https://wiki.ubuntu.com/UncomplicatedFirewall
• わかりやすい https://blog.n-z.jp/blog/2018-02-25-ufw.html

全てのportを制限して、必要なportのみ開ける。

sudo ufw default deny
sudo ufw limit 22 
sudo ufw allow 80
sudo ufw allow 443
sudo ufw enable

確認

suto ufw status

詳細確認

sudo ufw status verbose

プロトコルも指定して設定

sudo ufw limit to any port 22 proto tcp 

ルールは上から評価される

$ sudo ufw deny from 119.3.0.0/16
$ sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         LIMIT IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    LIMIT IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     119.3.0.0/16

DENYしたアドレスからのport 22へのアクセスは、[1]が適用されてしまうためブロックされない。

このような場合はinsertを使って、場所を指定して追加すると良い

$ sudo ufw insert 1 deny from 119.3.0.0/16 to any
$ sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] Anywhere                   DENY IN     119.3.0.0/16
[ 2] 22                         LIMIT IN    Anywhere
[ 3] 80                         ALLOW IN    Anywhere
[ 4] 443                        ALLOW IN    Anywhere
[ 5] 22 (v6)                    LIMIT IN    Anywhere (v6)
[ 6] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 7] 443 (v6)                   ALLOW IN    Anywhere (v6)