Перейти к основному содержанию
Файрвол решает, какой трафик пускать на сервер, а какой нет. ufw (Uncomplicated Firewall) — простой фронтенд к iptables: вместо длинных правил пишешь короткие команды. Идея простая — закрыть всё входящее и открыть только те порты, что реально нужны (SSH, сайт). На сервере Lumi (по умолчанию Ubuntu 22.04) ты подключаешься как root — IP и пароль берёшь из карточки сервера в боте. Все команды ниже выполняй от root.

Установка

В Ubuntu ufw обычно уже стоит. Если нет:
apt update && apt install ufw

Первоначальная настройка

До включения файрвола обязательно разреши SSH. Если выполнить ufw enable до разрешения SSH, ты потеряешь доступ к серверу.
1

Разреши SSH

ufw allow OpenSSH
OpenSSH — готовый профиль для порта 22. Если меняешь стандартный порт SSH на свой, открой номер напрямую, например ufw allow 2222/tcp.
2

Установи политики по умолчанию

Закрываем всё входящее, исходящее оставляем открытым (чтобы сервер мог сам качать обновления и ходить в сеть):
ufw default deny incoming
ufw default allow outgoing
3

Включи файрвол

ufw enable
На вопрос подтверди вводом y.

Открой порты сайта

Для веб-сервера нужны 80 (HTTP) и 443 (HTTPS):
ufw allow 80
ufw allow 443
Открывай только то, что используешь. Базе данных, например, наружу обычно нечего делать — пусть слушает только локально.
ufw status
Чтобы видеть правила с номерами (пригодится для удаления):
ufw status numbered
По самому правилу:
ufw delete allow 80
Или по номеру из ufw status numbered:
ufw delete 3
ufw фильтрует трафик на самом сервере. Закрытые порты не мешают исходящим соединениям — обновления и сеть продолжают работать.

Куда дальше

Защита сервера

Чек-лист безопасности — ключи, fail2ban, обновления.

SSH-ключи

Вход по ключу вместо пароля.