تنظیم فایروال VPS: راهنمای UFW و iptables

UFW یا Uncomplicated Firewall رابطی ساده روی iptables است که مدیریت فایروال را بسیار آسان‌تر می‌کند. با دستور apt install ufw نصب می‌شود. قانون کلی: ابتدا SSH را باز کنید (ufw allow ssh) سپس فایروال را فعال کنید (ufw enable) تا از قطع ارتباط جلوگیری شود. با ufw status verbose وضعیت فعلی را ببینید. برای باز کردن یک پورت خاص: ufw allow 8080/tcp. برای بستن پورت: ufw deny 8080/tcp. تغییرات بلافاصله اعمال می‌شوند.

UFW امکانات پیشرفته‌ای نیز دارد. برای محدود کردن دسترسی به یک IP خاص: ufw allow from 192.168.1.1 to any port 22. برای محدود کردن نرخ اتصال (جلوگیری از brute-force): ufw limit ssh. برای حذف یک قانون ابتدا با ufw status numbered شماره آن را پیدا کنید سپس ufw delete NUMBER را اجرا کنید. UFW همچنین از IPv6 به‌طور خودکار پشتیبانی می‌کند اگر در فایل /etc/default/ufw مقدار IPV6=yes تنظیم شده باشد.

iptables قدرتمندتر اما پیچیده‌تر از UFW است. با دستور iptables -L -n -v لیست قوانین فعلی را ببینید. برای باز کردن یک پورت: iptables -A INPUT -p tcp --dport 80 -j ACCEPT. برای بستن: iptables -A INPUT -p tcp --dport 80 -j DROP. مهم: قوانین iptables پس از ریبوت حذف می‌شوند. برای ذخیره دائمی از پکیج iptables-persistent استفاده کنید: apt install iptables-persistent و سپس netfilter-persistent save. این قوانین در /etc/iptables/rules.v4 ذخیره می‌شوند.

برای یک VPS آفشور که از ایران استفاده می‌شود، این استراتژی پیشنهاد می‌شود: سیاست پیش‌فرض را به DROP برای ورودی تنظیم کنید. تنها پورت‌های مورد نیاز را باز کنید: پورت SSH (بهتر است غیر استاندارد)، پورت 80 و 443 اگر وب‌سرور دارید، و هر پورت دیگری که سرویس خاصی نیاز دارد. ترافیک loopback را همیشه آزاد بگذارید. اتصالات established و related را قبول کنید تا ارتباطات جاری قطع نشوند. این رویکرد امنیت را با کاربردپذیری متعادل می‌کند.