Можливі проблеми, коли раптово надходять скарги від дата-центру про сканування приватних мереж, навіть якщо ви цього не робили на умисно. Ми можемо заблокувати всі приватні мережі для вирішення цієї проблеми.

Встановлення ufw

Спочатку вам слід перевірити, чи встановлена утиліта ufw на вашому сервері.

sudo apt install ufw

Далі, перш ніж її активувати, нам потрібно вказати важливі налаштування, щоб уникнути втрати доступу до служб. Дозвольте порти для служб SSH, HTTP і HTTPS.

sudo ufw allow 22
sudo ufw allow 80
sudo ufw allow 443

Готово. Тепер давайте активуємо наш брандмауер.

sudo ufw enable

Ви можете перевірити стан брандмауера за допомогою такої команди:

sudo ufw status

Блокування приватних мереж

Чудово! Тепер перейдемо до блокування приватних мереж.

До них належать:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10

Блокувати їх досить просто. Використовуйте такі команди:

sudo ufw deny out from any to 10.0.0.0/8

sudo ufw deny out from any to 172.16.0.0/12

sudo ufw deny out from any to 192.168.0.0/16

sudo ufw deny out from any to 100.64.0.0/10

sudo ufw deny out from any to 198.18.0.0/15

sudo ufw deny out from any to 169.254.0.0/16

Після додавання цих правил ви можете знову перевірити стан правил:

sudo ufw status

За потреби ви також можете використовувати iptables:

iptables-save

Тепер, якщо ви спробуєте отримати доступ до адреси в приватній мережі, ви отримаєте помилку. Наприклад, за допомогою команди ping:

ping 198.18.22.62

Все готово!

Розблокування мереж (за потреби)

Перевірте список активних правил ufw разом з їх номерами:

sudo ufw status numbered

Тепер ви можете видалити конкретне правило за допомогою наступної команди:

sudo ufw delete <номер правила>

Наприклад, щоб видалити правило №7:

sudo ufw delete 7

Тепер при спробі знову отримати доступ до адреси 198.18.22.62 обмежень не буде.