UFW (Uncomplicated Firewall) — удобная надстройка над iptables. После активации блокирует все входящие соединения кроме явно разрешённых.
Базовая настройка
# Политика по умолчанию
sudo ufw default deny incoming
sudo ufw default allow outgoing
# Разрешить SSH (СНАЧАЛА! иначе потеряете доступ)
sudo ufw allow ssh # или: ufw allow 22/tcp
# HTTP и HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# Включить UFW
sudo ufw enable
sudo ufw status verbose⚠️ Всегда разрешайте SSH ДО включения UFW. Иначе заблокируете себя и придётся использовать VNC/консоль провайдера.
Полезные правила
# Разрешить MySQL только с конкретного IP
sudo ufw allow from 203.0.113.10 to any port 3306
# Ограничить SSH от брутфорса
sudo ufw limit ssh
# Разрешить диапазон портов
sudo ufw allow 8000:9000/tcp
# Удалить правило
sudo ufw delete allow 8080Нестандартный порт SSH
# Если SSH на порту 2222:
sudo ufw allow 2222/tcp
sudo ufw delete allow ssh # Удалить старое правило 22Управление правилами
sudo ufw status numbered # Список с номерами
sudo ufw delete 3 # Удалить правило #3
sudo ufw reset # Сброс всех правил
sudo ufw disable # Выключить✅
ufw limit ssh автоматически блокирует IP после 6 неудачных попыток за 30 секунд — простая защита от брутфорса без Fail2ban.