[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"page-ru-/guides/linux/firewall-ufw":3,"mdc-w5s84f-key":1027,"mdc-unzm0z-key":1045,"mdc-5so4ch-key":1068,"mdc-hain90-key":1093,"mdc-79giub-key":1110,"mdc--sb7lvw-key":1126,"mdc--eu34dt-key":1134,"mdc-d0ih4q-key":1142,"related-/guides/linux/iptables-basics,/errors/linux/ufw-service-failed,/guides/linux/fail2ban-ufw-integration":1150},{"id":4,"title":5,"appliesTo":6,"author":10,"body":11,"canonical":963,"code":963,"createdAt":964,"description":965,"difficulty":966,"draft":967,"estimatedTime":968,"extension":969,"faq":970,"howToSteps":983,"howToTotalTime":996,"image":963,"keywords":997,"locale":1006,"meta":1007,"navigation":166,"path":1008,"platform":1009,"related":1010,"section":1014,"seo":1015,"severity":963,"stem":1016,"summary":1017,"tags":1018,"twitterCreator":963,"twitterSite":963,"type":1025,"updatedAt":964,"__hash__":1026},"content_ru/guides/linux/firewall-ufw.md","Настройка UFW: Полное руководство по firewall на Ubuntu/Debian",[7,8,9],"Ubuntu 20.04+","Debian 10+","Linux Mint 20+","FixPedia Team",{"type":12,"value":13,"toc":934},"minimark",[14,19,35,38,42,45,84,88,91,132,138,180,184,187,234,252,256,259,340,343,360,363,371,375,378,392,395,415,419,424,440,443,447,458,475,486,490,522,526,540,545,549,627,631,635,650,664,668,691,708,715,734,738,754,757,761,765,784,792,796,817,823,827,848,852,887,891,894,923,930],[15,16,18],"h2",{"id":17},"введение-зачем-это-нужно","Введение / Зачем это нужно",[20,21,22,26,27,31,32,34],"p",{},[23,24,25],"strong",{},"UFW (Uncomplicated Firewall)"," — это простой в использовании интерфейс для управления ",[28,29,30],"code",{},"iptables"," в Linux. Он идеально подходит для быстрой настройки базовой защиты сервера или рабочей станции без углубления в сложные правила ",[28,33,30],{},". С помощью этого гайда вы за 10-15 минут настроите файрвол, который будет блокировать нежелательный входящий трафик и пропускать только разрешённые вами соединения (например, для веб-сервера или SSH).",[20,36,37],{},"После выполнения вы получите работающий файрвол с правилами по умолчанию и открытыми необходимыми портами.",[15,39,41],{"id":40},"требования-подготовка","Требования / Подготовка",[20,43,44],{},"Перед началом убедитесь, что:",[46,47,48,52,59,69],"ol",{},[49,50,51],"li",{},"У вас есть доступ к терминалу Linux (Ubuntu, Debian, Mint или производных).",[49,53,54,55,58],{},"Вы обладаете правами ",[23,56,57],{},"sudo"," (администратора).",[49,60,61,64,65,68],{},[23,62,63],{},"Критически важно:"," Подключение к серверу через SSH уже установлено, и вы ",[23,66,67],{},"не планируете его прерывать"," до настройки правил для SSH. В противном случае вы можете потерять доступ к серверу.",[49,70,71,72,75,76,79,80,83],{},"Вы знаете, какие порты и протоколы должны быть открыты для ваших сервисов (например, ",[28,73,74],{},"22/tcp"," для SSH, ",[28,77,78],{},"80/tcp"," для HTTP, ",[28,81,82],{},"443/tcp"," для HTTPS).",[15,85,87],{"id":86},"шаг-1-установка-и-предварительное-разрешение-ssh","Шаг 1: Установка и предварительное разрешение SSH",[20,89,90],{},"UFW обычно предустановлен в Ubuntu/Debian. Если его нет, установите:",[92,93,98],"pre",{"className":94,"code":95,"language":96,"meta":97,"style":97},"language-bash shiki shiki-themes github-light github-dark","sudo apt update\nsudo apt install ufw -y\n","bash","",[28,99,100,115],{"__ignoreMap":97},[101,102,105,108,112],"span",{"class":103,"line":104},"line",1,[101,106,57],{"class":107},"sScJk",[101,109,111],{"class":110},"sZZnC"," apt",[101,113,114],{"class":110}," update\n",[101,116,118,120,122,125,128],{"class":103,"line":117},2,[101,119,57],{"class":107},[101,121,111],{"class":110},[101,123,124],{"class":110}," install",[101,126,127],{"class":110}," ufw",[101,129,131],{"class":130},"sj4cs"," -y\n",[20,133,134,137],{},[23,135,136],{},"Важно:"," Прежде чем включать файрвол, сразу разрешите порт SSH (по умолчанию 22). Это гарантирует, что активное SSH-соединение не будет разорвано при активации.",[92,139,141],{"className":94,"code":140,"language":96,"meta":97,"style":97},"# Разрешить входящие соединения на порт 22 (SSH) для любого IP\nsudo ufw allow ssh\n\n# Или явно указать порт и протокол (если SSH слушает нестандартный порт)\n# sudo ufw allow 2222/tcp\n",[28,142,143,149,161,168,174],{"__ignoreMap":97},[101,144,145],{"class":103,"line":104},[101,146,148],{"class":147},"sJ8bj","# Разрешить входящие соединения на порт 22 (SSH) для любого IP\n",[101,150,151,153,155,158],{"class":103,"line":117},[101,152,57],{"class":107},[101,154,127],{"class":110},[101,156,157],{"class":110}," allow",[101,159,160],{"class":110}," ssh\n",[101,162,164],{"class":103,"line":163},3,[101,165,167],{"emptyLinePlaceholder":166},true,"\n",[101,169,171],{"class":103,"line":170},4,[101,172,173],{"class":147},"# Или явно указать порт и протокол (если SSH слушает нестандартный порт)\n",[101,175,177],{"class":103,"line":176},5,[101,178,179],{"class":147},"# sudo ufw allow 2222/tcp\n",[15,181,183],{"id":182},"шаг-2-настройка-политик-по-умолчанию","Шаг 2: Настройка политик по умолчанию",[20,185,186],{},"Установите \"закрытую\" политику для входящего трафика и \"открытую\" для исходящего. Это основа безопасности: всё, что не разрешено явно — запрещено.",[92,188,190],{"className":94,"code":189,"language":96,"meta":97,"style":97},"# Запретить все входящие соединения по умолчанию\nsudo ufw default deny incoming\n\n# Разрешить все исходящие соединения по умолчанию (сервер может сам выходить в сеть)\nsudo ufw default allow outgoing\n",[28,191,192,197,212,216,221],{"__ignoreMap":97},[101,193,194],{"class":103,"line":104},[101,195,196],{"class":147},"# Запретить все входящие соединения по умолчанию\n",[101,198,199,201,203,206,209],{"class":103,"line":117},[101,200,57],{"class":107},[101,202,127],{"class":110},[101,204,205],{"class":110}," default",[101,207,208],{"class":110}," deny",[101,210,211],{"class":110}," incoming\n",[101,213,214],{"class":103,"line":163},[101,215,167],{"emptyLinePlaceholder":166},[101,217,218],{"class":103,"line":170},[101,219,220],{"class":147},"# Разрешить все исходящие соединения по умолчанию (сервер может сам выходить в сеть)\n",[101,222,223,225,227,229,231],{"class":103,"line":176},[101,224,57],{"class":107},[101,226,127],{"class":110},[101,228,205],{"class":110},[101,230,157],{"class":110},[101,232,233],{"class":110}," outgoing\n",[235,236,237],"blockquote",{},[20,238,239,240,243,244,247,248,251],{},"💡 ",[23,241,242],{},"Совет:"," Политику ",[28,245,246],{},"deny outgoing"," использовать не рекомендуется для большинства серверов, так как это сломает работу пакетных менеджеров (",[28,249,250],{},"apt update","), DNS-запросы и обновления.",[15,253,255],{"id":254},"шаг-3-добавление-правил-для-ваших-сервисов","Шаг 3: Добавление правил для ваших сервисов",[20,257,258],{},"Добавьте правила для каждого порта/сервиса, который должен быть доступен извне. Ниже примеры для типичного веб-сервера.",[92,260,262],{"className":94,"code":261,"language":96,"meta":97,"style":97},"# HTTP (порт 80)\nsudo ufw allow http\n\n# HTTPS (порт 443)\nsudo ufw allow https\n\n# Если нужен доступ к базе данных (например, MySQL) ТОЛЬКО с определённого IP:\n# sudo ufw allow from 10.0.0.5 to any port 3306\n\n# Разрешить пинг (ICMP) — опционально, для диагностики\nsudo ufw allow icmp\n",[28,263,264,269,280,284,289,300,305,311,317,322,328],{"__ignoreMap":97},[101,265,266],{"class":103,"line":104},[101,267,268],{"class":147},"# HTTP (порт 80)\n",[101,270,271,273,275,277],{"class":103,"line":117},[101,272,57],{"class":107},[101,274,127],{"class":110},[101,276,157],{"class":110},[101,278,279],{"class":110}," http\n",[101,281,282],{"class":103,"line":163},[101,283,167],{"emptyLinePlaceholder":166},[101,285,286],{"class":103,"line":170},[101,287,288],{"class":147},"# HTTPS (порт 443)\n",[101,290,291,293,295,297],{"class":103,"line":176},[101,292,57],{"class":107},[101,294,127],{"class":110},[101,296,157],{"class":110},[101,298,299],{"class":110}," https\n",[101,301,303],{"class":103,"line":302},6,[101,304,167],{"emptyLinePlaceholder":166},[101,306,308],{"class":103,"line":307},7,[101,309,310],{"class":147},"# Если нужен доступ к базе данных (например, MySQL) ТОЛЬКО с определённого IP:\n",[101,312,314],{"class":103,"line":313},8,[101,315,316],{"class":147},"# sudo ufw allow from 10.0.0.5 to any port 3306\n",[101,318,320],{"class":103,"line":319},9,[101,321,167],{"emptyLinePlaceholder":166},[101,323,325],{"class":103,"line":324},10,[101,326,327],{"class":147},"# Разрешить пинг (ICMP) — опционально, для диагностики\n",[101,329,331,333,335,337],{"class":103,"line":330},11,[101,332,57],{"class":107},[101,334,127],{"class":110},[101,336,157],{"class":110},[101,338,339],{"class":110}," icmp\n",[20,341,342],{},"Проверьте добавленные правила:",[92,344,346],{"className":94,"code":345,"language":96,"meta":97,"style":97},"sudo ufw status numbered\n",[28,347,348],{"__ignoreMap":97},[101,349,350,352,354,357],{"class":103,"line":104},[101,351,57],{"class":107},[101,353,127],{"class":110},[101,355,356],{"class":110}," status",[101,358,359],{"class":110}," numbered\n",[20,361,362],{},"Вывод будет примерно таким:",[92,364,369],{"className":365,"code":367,"language":368},[366],"language-text","Status: active\nLogging: off\nDefault: deny (incoming), allow (outgoing), disabled (routed)\nNew profiles: skip\n\nTo                         Action      From\n--                         ------      ----\n22/tcp                     ALLOW       Anywhere\n80/tcp                     ALLOW       Anywhere\n443/tcp                    ALLOW       Anywhere\n","text",[28,370,367],{"__ignoreMap":97},[15,372,374],{"id":373},"шаг-4-активация-файрвола","Шаг 4: Активация файрвола",[20,376,377],{},"После проверки всех правил активируйте UFW:",[92,379,381],{"className":94,"code":380,"language":96,"meta":97,"style":97},"sudo ufw enable\n",[28,382,383],{"__ignoreMap":97},[101,384,385,387,389],{"class":103,"line":104},[101,386,57],{"class":107},[101,388,127],{"class":110},[101,390,391],{"class":110}," enable\n",[20,393,394],{},"Система запросит подтверждение. Подтвердите, и файрвол начнёт работать сразу.",[235,396,397],{},[20,398,399,400,402,403,406,407,410,411,414],{},"⚠️ ",[23,401,136],{}," Если вы забыли добавить правило для SSH (",[28,404,405],{},"allow ssh",") ",[23,408,409],{},"перед"," ",[28,412,413],{},"ufw enable",", ваше текущее SSH-соединение может быть разорвано. В таком случае потребуется доступ через консоль управления (например, в панели VPS).",[15,416,418],{"id":417},"шаг-5-управление-и-проверка","Шаг 5: Управление и проверка",[420,421,423],"h3",{"id":422},"проверка-статуса","Проверка статуса",[92,425,427],{"className":94,"code":426,"language":96,"meta":97,"style":97},"sudo ufw status verbose\n",[28,428,429],{"__ignoreMap":97},[101,430,431,433,435,437],{"class":103,"line":104},[101,432,57],{"class":107},[101,434,127],{"class":110},[101,436,356],{"class":110},[101,438,439],{"class":110}," verbose\n",[20,441,442],{},"Покажет детальную информацию, включая политики по умолчанию и исходящие правила.",[420,444,446],{"id":445},"просмотр-логов-если-включено","Просмотр логов (если включено)",[20,448,449,450,453,454,457],{},"Включите логирование для отладки (установите уровень ",[28,451,452],{},"low"," или ",[28,455,456],{},"medium","):",[92,459,461],{"className":94,"code":460,"language":96,"meta":97,"style":97},"sudo ufw logging low\n",[28,462,463],{"__ignoreMap":97},[101,464,465,467,469,472],{"class":103,"line":104},[101,466,57],{"class":107},[101,468,127],{"class":110},[101,470,471],{"class":110}," logging",[101,473,474],{"class":110}," low\n",[20,476,477,478,481,482,485],{},"Логи будут в ",[28,479,480],{},"/var/log/ufw.log"," (или через ",[28,483,484],{},"journalctl -u ufw",").",[420,487,489],{"id":488},"удалениеизменение-правила","Удаление/изменение правила",[46,491,492,499,519],{},[49,493,494,495,498],{},"Узнайте номер правила через ",[28,496,497],{},"sudo ufw status numbered",".",[49,500,501,502],{},"Удалите правило по номеру:\n",[92,503,505],{"className":94,"code":504,"language":96,"meta":97,"style":97},"sudo ufw delete 3\n",[28,506,507],{"__ignoreMap":97},[101,508,509,511,513,516],{"class":103,"line":104},[101,510,57],{"class":107},[101,512,127],{"class":110},[101,514,515],{"class":110}," delete",[101,517,518],{"class":130}," 3\n",[49,520,521],{},"Чтобы изменить правило, удалите старое и добавьте новое.",[420,523,525],{"id":524},"отключение-файрвола-на-крайний-случай","Отключение файрвола (на крайний случай)",[92,527,529],{"className":94,"code":528,"language":96,"meta":97,"style":97},"sudo ufw disable\n",[28,530,531],{"__ignoreMap":97},[101,532,533,535,537],{"class":103,"line":104},[101,534,57],{"class":107},[101,536,127],{"class":110},[101,538,539],{"class":110}," disable\n",[20,541,542],{},[23,543,544],{},"Не делайте этого на production-сервере без крайней необходимости!",[15,546,548],{"id":547},"проверка-результата","Проверка результата",[46,550,551,578,584,594],{},[49,552,553,556,557,571,574,575,498],{},[23,554,555],{},"Локальная проверка:"," С самого сервера убедитесь, что файрвол активен:",[92,558,560],{"className":94,"code":559,"language":96,"meta":97,"style":97},"sudo ufw status\n",[28,561,562],{"__ignoreMap":97},[101,563,564,566,568],{"class":103,"line":104},[101,565,57],{"class":107},[101,567,127],{"class":110},[101,569,570],{"class":110}," status\n",[572,573],"br",{},"Должно быть ",[28,576,577],{},"Status: active",[49,579,580,583],{},[23,581,582],{},"Внешняя проверка:"," Попробуйте подключиться к открытым портам (SSH, HTTP, HTTPS) с другого компьютера. Подключение должно успешно устанавливаться.",[49,585,586,589,590,593],{},[23,587,588],{},"Проверка закрытых портов:"," Попробуйте подключиться к порту, который вы ",[23,591,592],{},"не"," разрешали (например, 3306, если MySQL не открывался). Соединение должно быть отклонено (timeout или \"connection refused\").",[49,595,596,599,620,622,623,626],{},[23,597,598],{},"Просмотр правил в iptables (для уверенности):",[92,600,602],{"className":94,"code":601,"language":96,"meta":97,"style":97},"sudo iptables -L -n -v\n",[28,603,604],{"__ignoreMap":97},[101,605,606,608,611,614,617],{"class":103,"line":104},[101,607,57],{"class":107},[101,609,610],{"class":110}," iptables",[101,612,613],{"class":130}," -L",[101,615,616],{"class":130}," -n",[101,618,619],{"class":130}," -v\n",[572,621],{},"Вы увидите цепочки, созданные UFW (",[28,624,625],{},"ufw-user-input"," и т.д.).",[15,628,630],{"id":629},"возможные-проблемы","Возможные проблемы",[420,632,634],{"id":633},"connection-timed-out-после-включения-ufw","❌ \"Connection timed out\" после включения UFW",[20,636,637,640,641,643,644,646,647],{},[23,638,639],{},"Причина:"," Правило для SSH не было добавлено до ",[28,642,413],{},", или вы подключились с IP, который не разрешён (если правило ",[28,645,405],{}," ограничено по IP).\n",[23,648,649],{},"Решение:",[46,651,652,655,661],{},[49,653,654],{},"Получите доступ к серверу через консоль управления (VPS) или KVM.",[49,656,657,658,498],{},"Добавьте правило для вашего текущего IP: ",[28,659,660],{},"sudo ufw allow from \u003Cваш_IP> to any port 22",[49,662,663],{},"Переподключитесь.",[420,665,667],{"id":666},"правило-не-применяется-порт-всё-равно-закрыт","❌ Правило не применяется, порт всё равно закрыт",[20,669,670,672,673,676,677,680,681,684,685,688,689],{},[23,671,639],{}," Возможно, конфликт с другим правилом (более позднее правило ",[28,674,675],{},"deny"," перекрывает ",[28,678,679],{},"allow","). Или сервис слушает не на ",[28,682,683],{},"0.0.0.0",", а только на ",[28,686,687],{},"127.0.0.1",".\n",[23,690,649],{},[46,692,693,699,705],{},[49,694,695,696,698],{},"Проверьте порядок правил: ",[28,697,497],{},". Правила проверяются сверху вниз.",[49,700,701,702,498],{},"Убедитесь, что сервис (например, nginx) слушает на всех интерфейсах: ",[28,703,704],{},"sudo ss -tulpn | grep :80",[49,706,707],{},"Если нужно, удалите конфликтующее правило и добавьте заново.",[420,709,711,712,714],{"id":710},"не-работает-пакетный-менеджер-apt-update-завершается-с-ошибкой","❌ Не работает пакетный менеджер (",[28,713,250],{}," завершается с ошибкой)",[20,716,717,719,720,723,724,726,727,729,730,733],{},[23,718,639],{}," По умолчанию ",[28,721,722],{},"ufw default allow outgoing"," разрешает все исходящие соединения. Если вы меняли политику на ",[28,725,246],{},", DNS-запросы и HTTP-доступ к репозиториям будут блокироваться.\n",[23,728,649],{}," Верните политику ",[28,731,732],{},"allow outgoing"," или создайте явные правила для DNS (порт 53) и HTTP/HTTPS к репозиториям.",[420,735,737],{"id":736},"логи-ufw-не-пишутся","❌ Логи UFW не пишутся",[20,739,740,742,743,410,745,748,749,453,751,498],{},[23,741,639],{}," Логирование отключено или уровень слишком высок (только ошибки).\n",[23,744,649],{},[28,746,747],{},"sudo ufw logging low"," (логируются все блокировки). Проверьте файл ",[28,750,480],{},[28,752,753],{},"sudo tail -f /var/log/ufw.log",[755,756],"in-article-ad",{},[15,758,760],{"id":759},"расширенные-сценарии-кратко","Расширенные сценарии (кратко)",[420,762,764],{"id":763},"блокировка-конкретного-ip","Блокировка конкретного IP",[92,766,768],{"className":94,"code":767,"language":96,"meta":97,"style":97},"sudo ufw deny from 192.0.2.100\n",[28,769,770],{"__ignoreMap":97},[101,771,772,774,776,778,781],{"class":103,"line":104},[101,773,57],{"class":107},[101,775,127],{"class":110},[101,777,208],{"class":110},[101,779,780],{"class":110}," from",[101,782,783],{"class":130}," 192.0.2.100\n",[20,785,786,787,791],{},"Запретит ",[788,789,790],"em",{},"все"," входящие соединения с этого адреса.",[420,793,795],{"id":794},"ограничение-по-количеству-подключений-защита-от-брутфорса","Ограничение по количеству подключений (защита от брутфорса)",[92,797,799],{"className":94,"code":798,"language":96,"meta":97,"style":97},"# Ограничить SSH: не более 6 подключений в 30 секунд с одного IP\nsudo ufw limit ssh\n",[28,800,801,806],{"__ignoreMap":97},[101,802,803],{"class":103,"line":104},[101,804,805],{"class":147},"# Ограничить SSH: не более 6 подключений в 30 секунд с одного IP\n",[101,807,808,810,812,815],{"class":103,"line":117},[101,809,57],{"class":107},[101,811,127],{"class":110},[101,813,814],{"class":110}," limit",[101,816,160],{"class":110},[20,818,819,820,498],{},"UFW автоматически создаст правила с модулем ",[28,821,822],{},"conntrack",[420,824,826],{"id":825},"разрешить-диапазон-портов","Разрешить диапазон портов",[92,828,830],{"className":94,"code":829,"language":96,"meta":97,"style":97},"# Разрешить порты 6000-6010 (например, для X11 forwarding)\nsudo ufw allow 6000:6010/tcp\n",[28,831,832,837],{"__ignoreMap":97},[101,833,834],{"class":103,"line":104},[101,835,836],{"class":147},"# Разрешить порты 6000-6010 (например, для X11 forwarding)\n",[101,838,839,841,843,845],{"class":103,"line":117},[101,840,57],{"class":107},[101,842,127],{"class":110},[101,844,157],{"class":110},[101,846,847],{"class":110}," 6000:6010/tcp\n",[420,849,851],{"id":850},"удаление-по-номеру-если-правило-сложное","Удаление по номеру (если правило сложное)",[92,853,855],{"className":94,"code":854,"language":96,"meta":97,"style":97},"# Правило: deny 80/tcp с IP 1.2.3.4\nsudo ufw status numbered\n# Вывод: 3  DENY IN  80/tcp  FROM 1.2.3.4\nsudo ufw delete 3\n",[28,856,857,862,872,877],{"__ignoreMap":97},[101,858,859],{"class":103,"line":104},[101,860,861],{"class":147},"# Правило: deny 80/tcp с IP 1.2.3.4\n",[101,863,864,866,868,870],{"class":103,"line":117},[101,865,57],{"class":107},[101,867,127],{"class":110},[101,869,356],{"class":110},[101,871,359],{"class":110},[101,873,874],{"class":103,"line":163},[101,875,876],{"class":147},"# Вывод: 3  DENY IN  80/tcp  FROM 1.2.3.4\n",[101,878,879,881,883,885],{"class":103,"line":170},[101,880,57],{"class":107},[101,882,127],{"class":110},[101,884,515],{"class":110},[101,886,518],{"class":130},[15,888,890],{"id":889},"заключение","Заключение",[20,892,893],{},"Вы успешно настроили базовый файрвол UFW на своём Linux-сервере. Ключевые моменты:",[46,895,896,905,912,915],{},[49,897,898,901,902,904],{},[23,899,900],{},"Всегда"," добавляйте правило для SSH ",[23,903,409],{}," активацией файрвола.",[49,906,907,908,911],{},"Используйте политику ",[28,909,910],{},"deny incoming"," по умолчанию.",[49,913,914],{},"Разрешайте только те порты, которые действительно нужны для работы сервисов.",[49,916,917,918,453,920,498],{},"Для тонкой настройки (например, разных правил для разных интерфейсов) может потребоваться переход на прямой ",[28,919,30],{},[28,921,922],{},"nftables",[20,924,925,926,453,928,498],{},"UFW отлично подходит для 80% случаев защиты сервера. Для более сложных сценариев (прозрачные прокси, сложная маршрутизация) изучайте ",[28,927,30],{},[28,929,922],{},[931,932,933],"style",{},"html pre.shiki code .sScJk, html code.shiki .sScJk{--shiki-default:#6F42C1;--shiki-dark:#B392F0}html pre.shiki code .sZZnC, html code.shiki .sZZnC{--shiki-default:#032F62;--shiki-dark:#9ECBFF}html pre.shiki code .sj4cs, html code.shiki .sj4cs{--shiki-default:#005CC5;--shiki-dark:#79B8FF}html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html pre.shiki code .sJ8bj, html code.shiki .sJ8bj{--shiki-default:#6A737D;--shiki-dark:#6A737D}",{"title":97,"searchDepth":117,"depth":117,"links":935},[936,937,938,939,940,941,942,948,949,956,962],{"id":17,"depth":117,"text":18},{"id":40,"depth":117,"text":41},{"id":86,"depth":117,"text":87},{"id":182,"depth":117,"text":183},{"id":254,"depth":117,"text":255},{"id":373,"depth":117,"text":374},{"id":417,"depth":117,"text":418,"children":943},[944,945,946,947],{"id":422,"depth":163,"text":423},{"id":445,"depth":163,"text":446},{"id":488,"depth":163,"text":489},{"id":524,"depth":163,"text":525},{"id":547,"depth":117,"text":548},{"id":629,"depth":117,"text":630,"children":950},[951,952,953,955],{"id":633,"depth":163,"text":634},{"id":666,"depth":163,"text":667},{"id":710,"depth":163,"text":954},"❌ Не работает пакетный менеджер (apt update завершается с ошибкой)",{"id":736,"depth":163,"text":737},{"id":759,"depth":117,"text":760,"children":957},[958,959,960,961],{"id":763,"depth":163,"text":764},{"id":794,"depth":163,"text":795},{"id":825,"depth":163,"text":826},{"id":850,"depth":163,"text":851},{"id":889,"depth":117,"text":890},null,"2026-02-17 12:33:54","Пошаговая инструкция по установке и настройке файрвола UFW на Ubuntu, Debian и производных. Защитите сервер за 5 минут: от базовых правил до блокировки портов и логирования.","easy",false,"10-15 мин","md",[971,974,977,980],{"question":972,"answer":973},"UFW и iptables — это одно и то же?","Нет. UFW — это удобный интерфейс (frontend) для управления сложным `iptables`. UFW генерирует правила для iptables, но делает это простыми командами.",{"question":975,"answer":976},"Как удалить правило по номеру в UFW?","Используйте команду `sudo ufw delete \u003Cномер_правила>`. Номер правила можно узнать через `sudo ufw status numbered`.",{"question":978,"answer":979},"UFW работает без включения по умолчанию?","Да. После установки UFW неактивен. Включите его командой `sudo ufw enable`, предварительно разрешив SSH (`sudo ufw allow ssh`), чтобы не потерять доступ к серверу.",{"question":981,"answer":982},"Как разрешить доступ только с определённого IP?","Добавьте правило с указанием IP: `sudo ufw allow from 192.168.1.100 to any port 22` (разрешит SSH только с этого адреса).",[984,987,990,993],{"name":985,"text":986},"Установка и активация UFW","Установите пакет `ufw` и активируйте файрвол, предварительно разрешив SSH-подключение, чтобы не заблокировать себя.",{"name":988,"text":989},"Настройка политик по умолчанию","Задайте политику по умолчанию: блокировать весь входящий трафик и разрешать весь исходящий.",{"name":991,"text":992},"Добавление необходимых правил","Явно разрешите критически важные порты (SSH, HTTP, HTTPS) и любые другие, требуемые вашими сервисами.",{"name":994,"text":995},"Проверка и активация","Просмотрите итоговый список правил и активируйте файрвол.","PT15M",[998,999,1000,1001,1002,1003,1004,1005],"ufw firewall","как настроить ufw","открыть порт ufw","правила ufw примеры","ufw включить firewall","ufw delete rule","ufw status numbered","firewall на ubuntu команды","ru_RU",{},"/guides/linux/firewall-ufw","linux",[1011,1012,1013],"/guides/linux/iptables-basics","/errors/linux/ufw-service-failed","/guides/linux/fail2ban-ufw-integration","Гайды Linux",{"title":5,"description":965},"guides/linux/firewall-ufw","Это руководство поможет вам быстро настроить простой и эффективный файрвол UFW (Uncomplicated Firewall) на Linux-сервере. Вы научитесь открывать/закрывать порты, настраивать правила по умолчанию и проверять трафик.",[1019,1020,1021,1009,1022,1023,1024],"firewall","ufw","безопасность","ubuntu","debian","сервер","guide","oqyxIfJtLiKSZBCudiWY11jV_L8-ckkAP8Z8-iWVTgM",{"data":1028,"body":1029},{},{"type":1030,"children":1031},"root",[1032],{"type":1033,"tag":20,"props":1034,"children":1035},"element",{},[1036,1038,1043],{"type":368,"value":1037},"Нет. UFW — это удобный интерфейс (frontend) для управления сложным ",{"type":1033,"tag":28,"props":1039,"children":1041},{"className":1040},[],[1042],{"type":368,"value":30},{"type":368,"value":1044},". UFW генерирует правила для iptables, но делает это простыми командами.",{"data":1046,"body":1047},{},{"type":1030,"children":1048},[1049],{"type":1033,"tag":20,"props":1050,"children":1051},{},[1052,1054,1060,1062,1067],{"type":368,"value":1053},"Используйте команду ",{"type":1033,"tag":28,"props":1055,"children":1057},{"className":1056},[],[1058],{"type":368,"value":1059},"sudo ufw delete \u003Cномер_правила>",{"type":368,"value":1061},". Номер правила можно узнать через ",{"type":1033,"tag":28,"props":1063,"children":1065},{"className":1064},[],[1066],{"type":368,"value":497},{"type":368,"value":498},{"data":1069,"body":1070},{},{"type":1030,"children":1071},[1072],{"type":1033,"tag":20,"props":1073,"children":1074},{},[1075,1077,1083,1085,1091],{"type":368,"value":1076},"Да. После установки UFW неактивен. Включите его командой ",{"type":1033,"tag":28,"props":1078,"children":1080},{"className":1079},[],[1081],{"type":368,"value":1082},"sudo ufw enable",{"type":368,"value":1084},", предварительно разрешив SSH (",{"type":1033,"tag":28,"props":1086,"children":1088},{"className":1087},[],[1089],{"type":368,"value":1090},"sudo ufw allow ssh",{"type":368,"value":1092},"), чтобы не потерять доступ к серверу.",{"data":1094,"body":1095},{},{"type":1030,"children":1096},[1097],{"type":1033,"tag":20,"props":1098,"children":1099},{},[1100,1102,1108],{"type":368,"value":1101},"Добавьте правило с указанием IP: ",{"type":1033,"tag":28,"props":1103,"children":1105},{"className":1104},[],[1106],{"type":368,"value":1107},"sudo ufw allow from 192.168.1.100 to any port 22",{"type":368,"value":1109}," (разрешит SSH только с этого адреса).",{"data":1111,"body":1112},{},{"type":1030,"children":1113},[1114],{"type":1033,"tag":20,"props":1115,"children":1116},{},[1117,1119,1124],{"type":368,"value":1118},"Установите пакет ",{"type":1033,"tag":28,"props":1120,"children":1122},{"className":1121},[],[1123],{"type":368,"value":1020},{"type":368,"value":1125}," и активируйте файрвол, предварительно разрешив SSH-подключение, чтобы не заблокировать себя.",{"data":1127,"body":1128},{},{"type":1030,"children":1129},[1130],{"type":1033,"tag":20,"props":1131,"children":1132},{},[1133],{"type":368,"value":989},{"data":1135,"body":1136},{},{"type":1030,"children":1137},[1138],{"type":1033,"tag":20,"props":1139,"children":1140},{},[1141],{"type":368,"value":992},{"data":1143,"body":1144},{},{"type":1030,"children":1145},[1146],{"type":1033,"tag":20,"props":1147,"children":1148},{},[1149],{"type":368,"value":995},[1151,1702],{"id":1152,"title":1153,"appliesTo":1154,"author":10,"body":1159,"canonical":963,"code":963,"createdAt":1649,"description":1650,"difficulty":456,"draft":967,"estimatedTime":1651,"extension":969,"faq":1652,"howToSteps":1662,"howToTotalTime":1677,"image":963,"keywords":1678,"locale":1006,"meta":1687,"navigation":166,"path":1011,"platform":1009,"related":1688,"section":1692,"seo":1693,"severity":963,"stem":1694,"summary":1695,"tags":1696,"twitterCreator":963,"twitterSite":963,"type":1025,"updatedAt":1649,"__hash__":1701},"content_ru/guides/linux/iptables-basics.md","Основы iptables: настройка файрвола Linux для защиты сервера",[1155,1156,1157,1158],"Ubuntu 22.04/24.04 LTS","Debian 12+","RHEL 9 / AlmaLinux 9","openSUSE Leap 15.5+",{"type":12,"value":1160,"toc":1639},[1161,1163,1171,1173,1182,1194,1204,1208,1211,1248,1267,1271,1274,1321,1331,1333,1337,1340,1399,1410,1414,1417,1488,1501,1503,1506,1522,1543,1545,1569,1587,1599,1625,1636],[15,1162,18],{"id":17},[20,1164,1165,1167,1168,1170],{},[28,1166,30],{}," — это стандартный инструмент фильтрации сетевого трафика в ядре Linux. Несмотря на постепенный переход экосистемы на ",[28,1169,922],{},", он остаётся рабочим стандартом для управления пакетами на серверах и рабочих станциях. Правильная настройка файрвола блокирует несанкционированный доступ, скрывает неиспользуемые сервисы и снижает нагрузку на сеть. После выполнения этого руководства вы сможете вручную управлять цепочками правил, открывать нужные порты и применять политику «запрещено всё, кроме разрешённого».",[15,1172,41],{"id":40},[20,1174,1175,1176,1178,1179,1181],{},"Перед началом убедитесь, что у вас есть ",[28,1177,1030],{},"-доступ или привилегии ",[28,1180,57],{},". Все команды выполняются в терминале. Рекомендуется подключиться через SSH и проверить наличие утилиты:",[92,1183,1185],{"className":94,"code":1184,"language":96,"meta":97,"style":97},"iptables --version\n",[28,1186,1187],{"__ignoreMap":97},[101,1188,1189,1191],{"class":103,"line":104},[101,1190,30],{"class":107},[101,1192,1193],{"class":130}," --version\n",[20,1195,1196,1197,453,1200,1203],{},"Если команда не найдена, установите пакет через менеджер пакетов вашего дистрибутива (например, ",[28,1198,1199],{},"sudo apt install iptables",[28,1201,1202],{},"sudo dnf install iptables","). Убедитесь, что вы не блокируете себя: держите под рукой доступ к веб-консоли хостинг-провайдера на случай потери соединения.",[15,1205,1207],{"id":1206},"шаг-1-очистка-текущей-конфигурации","Шаг 1: Очистка текущей конфигурации",[20,1209,1210],{},"Начните с чистого состояния, чтобы старые правила не конфликтовали с новой политикой. Выполните команду для удаления всех правил из всех цепочек:",[92,1212,1214],{"className":94,"code":1213,"language":96,"meta":97,"style":97},"sudo iptables -F\nsudo iptables -X\nsudo iptables -t nat -F\n",[28,1215,1216,1225,1234],{"__ignoreMap":97},[101,1217,1218,1220,1222],{"class":103,"line":104},[101,1219,57],{"class":107},[101,1221,610],{"class":110},[101,1223,1224],{"class":130}," -F\n",[101,1226,1227,1229,1231],{"class":103,"line":117},[101,1228,57],{"class":107},[101,1230,610],{"class":110},[101,1232,1233],{"class":130}," -X\n",[101,1235,1236,1238,1240,1243,1246],{"class":103,"line":163},[101,1237,57],{"class":107},[101,1239,610],{"class":110},[101,1241,1242],{"class":130}," -t",[101,1244,1245],{"class":110}," nat",[101,1247,1224],{"class":130},[20,1249,1250,1251,1254,1255,1258,1259,1262,1263,1266],{},"Опция ",[28,1252,1253],{},"-F"," очищает правила, а ",[28,1256,1257],{},"-X"," удаляет пользовательские цепочки. Команда с ",[28,1260,1261],{},"-t nat"," сбрасывает правила трансляции адресов. Это безопасный этап, так как по умолчанию политика обычно установлена в ",[28,1264,1265],{},"ACCEPT",", и активные сессии не разорвутся.",[15,1268,1270],{"id":1269},"шаг-2-установка-политик-по-умолчанию","Шаг 2: Установка политик по умолчанию",[20,1272,1273],{},"Задайте строгие правила для всего входящего трафика. Сервер будет отклонять пакеты, если для них нет явного разрешения.",[92,1275,1277],{"className":94,"code":1276,"language":96,"meta":97,"style":97},"sudo iptables -P INPUT DROP\nsudo iptables -P FORWARD DROP\nsudo iptables -P OUTPUT ACCEPT\n",[28,1278,1279,1294,1307],{"__ignoreMap":97},[101,1280,1281,1283,1285,1288,1291],{"class":103,"line":104},[101,1282,57],{"class":107},[101,1284,610],{"class":110},[101,1286,1287],{"class":130}," -P",[101,1289,1290],{"class":110}," INPUT",[101,1292,1293],{"class":110}," DROP\n",[101,1295,1296,1298,1300,1302,1305],{"class":103,"line":117},[101,1297,57],{"class":107},[101,1299,610],{"class":110},[101,1301,1287],{"class":130},[101,1303,1304],{"class":110}," FORWARD",[101,1306,1293],{"class":110},[101,1308,1309,1311,1313,1315,1318],{"class":103,"line":163},[101,1310,57],{"class":107},[101,1312,610],{"class":110},[101,1314,1287],{"class":130},[101,1316,1317],{"class":110}," OUTPUT",[101,1319,1320],{"class":110}," ACCEPT\n",[20,1322,1323,1324,1327,1328,1330],{},"Здесь ",[28,1325,1326],{},"DROP"," означает молчаливое отбрасывание пакетов, что усложняет сканирование портов злоумышленниками. ",[28,1329,1265],{}," для исходящего трафика позволяет серверу скачивать обновления и обращаться к внешним API без дополнительных правил.",[755,1332],{},[15,1334,1336],{"id":1335},"шаг-3-разрешение-установленных-и-ssh-подключений","Шаг 3: Разрешение установленных и SSH-подключений",[20,1338,1339],{},"Чтобы текущая SSH-сессия не прервалась, разрешите трафик для уже установленных соединений и явно откройте порт удалённого доступа.",[92,1341,1343],{"className":94,"code":1342,"language":96,"meta":97,"style":97},"sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT\n",[28,1344,1345,1373],{"__ignoreMap":97},[101,1346,1347,1349,1351,1354,1356,1359,1362,1365,1368,1371],{"class":103,"line":104},[101,1348,57],{"class":107},[101,1350,610],{"class":110},[101,1352,1353],{"class":130}," -A",[101,1355,1290],{"class":110},[101,1357,1358],{"class":130}," -m",[101,1360,1361],{"class":110}," conntrack",[101,1363,1364],{"class":130}," --ctstate",[101,1366,1367],{"class":110}," ESTABLISHED,RELATED",[101,1369,1370],{"class":130}," -j",[101,1372,1320],{"class":110},[101,1374,1375,1377,1379,1381,1383,1386,1389,1392,1395,1397],{"class":103,"line":117},[101,1376,57],{"class":107},[101,1378,610],{"class":110},[101,1380,1353],{"class":130},[101,1382,1290],{"class":110},[101,1384,1385],{"class":130}," -p",[101,1387,1388],{"class":110}," tcp",[101,1390,1391],{"class":130}," --dport",[101,1393,1394],{"class":130}," 22",[101,1396,1370],{"class":130},[101,1398,1320],{"class":110},[20,1400,1401,1402,1405,1406,1409],{},"Параметр ",[28,1403,1404],{},"-m conntrack"," отслеживает состояние пакетов. Если соединение уже инициировано, оно пропустится. Вторая команда разрешает входящие TCP-запросы на порт 22. Если вы используете нестандартный порт SSH, замените ",[28,1407,1408],{},"22"," на ваш номер.",[15,1411,1413],{"id":1412},"шаг-4-открытие-веб-портов-и-локального-доступа","Шаг 4: Открытие веб-портов и локального доступа",[20,1415,1416],{},"Если на сервере работает веб-сервер или базу данных, добавьте соответствующие правила. Также важно разрешить трафик на локальном интерфейсе, чтобы системные утилиты могли взаимодействовать друг с другом.",[92,1418,1420],{"className":94,"code":1419,"language":96,"meta":97,"style":97},"sudo iptables -A INPUT -i lo -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT\n",[28,1421,1422,1442,1465],{"__ignoreMap":97},[101,1423,1424,1426,1428,1430,1432,1435,1438,1440],{"class":103,"line":104},[101,1425,57],{"class":107},[101,1427,610],{"class":110},[101,1429,1353],{"class":130},[101,1431,1290],{"class":110},[101,1433,1434],{"class":130}," -i",[101,1436,1437],{"class":110}," lo",[101,1439,1370],{"class":130},[101,1441,1320],{"class":110},[101,1443,1444,1446,1448,1450,1452,1454,1456,1458,1461,1463],{"class":103,"line":117},[101,1445,57],{"class":107},[101,1447,610],{"class":110},[101,1449,1353],{"class":130},[101,1451,1290],{"class":110},[101,1453,1385],{"class":130},[101,1455,1388],{"class":110},[101,1457,1391],{"class":130},[101,1459,1460],{"class":130}," 80",[101,1462,1370],{"class":130},[101,1464,1320],{"class":110},[101,1466,1467,1469,1471,1473,1475,1477,1479,1481,1484,1486],{"class":103,"line":163},[101,1468,57],{"class":107},[101,1470,610],{"class":110},[101,1472,1353],{"class":130},[101,1474,1290],{"class":110},[101,1476,1385],{"class":130},[101,1478,1388],{"class":110},[101,1480,1391],{"class":130},[101,1482,1483],{"class":130}," 443",[101,1485,1370],{"class":130},[101,1487,1320],{"class":110},[20,1489,1490,1491,1494,1495,1497,1498,498],{},"Флаг ",[28,1492,1493],{},"-i lo"," разрешает весь трафик на интерфейсе ",[28,1496,687],{},". Правила для 80 и 443 портов делают сайты доступными для посетителей. Для других сервисов (например, MySQL на порту 3306) используйте аналогичный синтаксис, но ограничьте доступ доверенными IP через ",[28,1499,1500],{},"-s 192.168.1.0/24",[15,1502,548],{"id":547},[20,1504,1505],{},"Убедитесь, что правила применились корректно, выведя текущую конфигурацию с номерами пакетов и объёмом трафика:",[92,1507,1508],{"className":94,"code":601,"language":96,"meta":97,"style":97},[28,1509,1510],{"__ignoreMap":97},[101,1511,1512,1514,1516,1518,1520],{"class":103,"line":104},[101,1513,57],{"class":107},[101,1515,610],{"class":110},[101,1517,613],{"class":130},[101,1519,616],{"class":130},[101,1521,619],{"class":130},[20,1523,1524,1525,1528,1529,1532,1533,1536,1537,1539,1540,1542],{},"Ключ ",[28,1526,1527],{},"-n"," ускоряет вывод, отключая обратное DNS-резолвинг, а ",[28,1530,1531],{},"-v"," показывает статистику прохождения пакетов. Вы должны увидеть цепочку ",[28,1534,1535],{},"INPUT"," с политикой ",[28,1538,1326],{}," и строки ",[28,1541,1265],{}," для SSH, loopback и веб-портов. Попробуйте открыть сайт на сервере из браузера и подключиться по SSH с другого устройства. Оба действия должны пройти без задержек.",[15,1544,630],{"id":629},[20,1546,1547,1554,1555,1557,1558,453,1561,1564,1565,1568],{},[23,1548,1549,1550,1553],{},"Ошибка ",[28,1551,1552],{},"iptables v1.8.x: command not found"," или конфликты версий","\nВ современных дистрибутивах ",[28,1556,30],{}," может быть симлинком на ",[28,1559,1560],{},"iptables-nft",[28,1562,1563],{},"iptables-legacy",". Используйте ",[28,1566,1567],{},"sudo update-alternatives --config iptables"," для выбора нужной реализации, если сталкиваетесь с ошибками совместимости.",[20,1570,1571,1574,1575,1578,1579,1582,1583,1586],{},[23,1572,1573],{},"Потеря доступа после применения политик","\nЕсли политика ",[28,1576,1577],{},"INPUT DROP"," активирована до разрешения SSH, вы окажетесь вне сессии. Восстановите доступ через VNC-консоль и выполните ",[28,1580,1581],{},"sudo iptables -F",". В будущем используйте утилиту ",[28,1584,1585],{},"iptables-apply"," с автоматическим таймаутом, которая откатит изменения при потере соединения.",[20,1588,1589,1592,1594,1595,1598],{},[23,1590,1591],{},"Правила исчезают после перезагрузки",[28,1593,30],{}," хранит правила только в оперативной памяти. Для сохранения установите ",[28,1596,1597],{},"iptables-persistent",":",[92,1600,1602],{"className":94,"code":1601,"language":96,"meta":97,"style":97},"sudo apt install iptables-persistent\nsudo netfilter-persistent save\n",[28,1603,1604,1615],{"__ignoreMap":97},[101,1605,1606,1608,1610,1612],{"class":103,"line":104},[101,1607,57],{"class":107},[101,1609,111],{"class":110},[101,1611,124],{"class":110},[101,1613,1614],{"class":110}," iptables-persistent\n",[101,1616,1617,1619,1622],{"class":103,"line":117},[101,1618,57],{"class":107},[101,1620,1621],{"class":110}," netfilter-persistent",[101,1623,1624],{"class":110}," save\n",[20,1626,1627,1628,1631,1632,1635],{},"На системах с ",[28,1629,1630],{},"systemd"," сервис автоматически загружает правила из ",[28,1633,1634],{},"/etc/iptables/rules.v4"," при старте операционной системы. Регулярно обновляйте этот файл после внесения изменений в работу сети.",[931,1637,1638],{},"html pre.shiki code .sScJk, html code.shiki .sScJk{--shiki-default:#6F42C1;--shiki-dark:#B392F0}html pre.shiki code .sj4cs, html code.shiki .sj4cs{--shiki-default:#005CC5;--shiki-dark:#79B8FF}html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html pre.shiki code .sZZnC, html code.shiki .sZZnC{--shiki-default:#032F62;--shiki-dark:#9ECBFF}",{"title":97,"searchDepth":117,"depth":117,"links":1640},[1641,1642,1643,1644,1645,1646,1647,1648],{"id":17,"depth":117,"text":18},{"id":40,"depth":117,"text":41},{"id":1206,"depth":117,"text":1207},{"id":1269,"depth":117,"text":1270},{"id":1335,"depth":117,"text":1336},{"id":1412,"depth":117,"text":1413},{"id":547,"depth":117,"text":548},{"id":629,"depth":117,"text":630},"2026-04-04 23:17:57","Гайд по настройке iptables в Linux. Научитесь создавать правила фильтрации, открывать порты и защищать сервер. Освойте базовую защиту файрвола за 15 минут.","15-20 мин",[1653,1656,1659],{"question":1654,"answer":1655},"Сохраняются ли правила iptables после перезагрузки сервера?","По умолчанию нет. Чтобы правила применялись автоматически, установите пакет `iptables-persistent` (Debian/Ubuntu) или настройте сервис `netfilter-persistent`.",{"question":1657,"answer":1658},"Можно ли использовать iptables на современных дистрибутивах?","Да. Многие системы переходят на `nftables`, однако `iptables` остаётся полностью рабочим. В современных ядрах команды автоматически транслируются в `nftables` через слой обратной совместимости.",{"question":1660,"answer":1661},"Что делать, если я случайно заблокировал себе доступ по SSH?","Воспользуйтесь консолью восстановления (VNC/Serial) из панели хостинг-провайдера. В ней выполните `iptables -F` для мгновенного сброса всех правил.",[1663,1666,1668,1671,1674],{"name":1664,"text":1665},"Проверка статуса и очистка старых правил","Убедитесь, что утилита установлена, и сбросьте текущие правила командой `iptables -F`, чтобы начать настройку с чистого листа.",{"name":988,"text":1667},"Установите политику DROP для входящего трафика и ACCEPT для исходящего, чтобы сервер отклонял всё, что явно не разрешено.",{"name":1669,"text":1670},"Разрешение установленных и SSH-подключений","Откройте порт 22 для TCP-трафика и разрешите уже установленные соединения, чтобы не потерять доступ к серверу.",{"name":1672,"text":1673},"Разрешение HTTP/HTTPS и локального трафика","Добавьте правила для портов 80 и 443, а также для loopback-интерфейса, чтобы веб-сервер и системные службы работали корректно.",{"name":1675,"text":1676},"Сохранение конфигурации","Запишите текущие правила в постоянный конфигурационный файл с помощью `iptables-save` или специализированного сервиса.","PT20M",[1679,1680,1681,1682,1683,1684,1685,1686],"iptables основы","настройка iptables linux","правила файрвола в linux","открыть порт iptables","iptables команда","защита сервера linux","базовая настройка iptables","iptables tutorial ru",{},[1689,1690,1691],"/guides/linux/ufw-basics","/guides/linux/nftables-migration","/guides/linux/ssh-hardening","Гайды по Linux",{"title":1153,"description":1650},"guides/linux/iptables-basics","В этом руководстве вы освоите базовые принципы работы с iptables, научитесь создавать правила фильтрации трафика и безопасно настраивать сетевой доступ. К концу статьи ваш сервер будет защищён от нежелательных подключений.",[1697,1698,30,1019,1699,1700],"Linux","Сетевая безопасность","Системное администрирование","netfilter","QyJneCqt109jcAlUw0dCQpuIvdxYoRATyJX2oQqt7GM",{"id":1703,"title":1704,"appliesTo":1705,"author":10,"body":1709,"canonical":963,"code":97,"createdAt":2296,"description":2297,"difficulty":966,"draft":967,"estimatedTime":2298,"extension":969,"faq":2299,"howToSteps":2312,"howToTotalTime":2322,"image":963,"keywords":2323,"locale":1006,"meta":2332,"navigation":166,"path":1012,"platform":1009,"related":2333,"section":2337,"seo":2338,"severity":456,"stem":2339,"summary":2340,"tags":2341,"twitterCreator":963,"twitterSite":963,"type":2346,"updatedAt":2296,"__hash__":2347},"content_ru/errors/linux/ufw-service-failed.md","UFW service failed: причины и быстрые решения для Linux",[1706,1707,1708],"Ubuntu 22.04 LTS","Debian 12","Linux дистрибутивы с systemd",{"type":12,"value":1710,"toc":2288},[1711,1715,1741,1747,1764,1768,1831,1835,1838,1938,1940,1944,1947,2098,2102,2105,2226,2230,2285],[15,1712,1714],{"id":1713},"что-означает-ошибка-ufw-service-failed","Что означает ошибка \"UFW service failed\"",[20,1716,1549,1717,1722,1723,1726,1727,1729,1730,1733,1734,1737,1738,1598],{},[23,1718,1719],{},[28,1720,1721],{},"UFW service failed"," (или ",[28,1724,1725],{},"Failed to start Uncomplicated Firewall",") появляется, когда системный менеджер ",[28,1728,1630],{}," не может запустить службу ",[28,1731,1732],{},"ufw-service",". Это означает, что ваш файрвол ",[23,1735,1736],{},"не активен",", и система остаётся без защиты от нежелательных сетевых подключений. Типичный вывод команды ",[28,1739,1740],{},"sudo systemctl status ufw",[92,1742,1745],{"className":1743,"code":1744,"language":368},[366],"● ufw.service - Uncomplicated Firewall\n     Loaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor preset: enabled)\n     Active: failed (Result: exit-code) since Thu 2026-04-08 10:30:00 MSK; 1min 30s ago\n    Process: 1234 ExecStart=/usr/sbin/ufw start (code=exited, status=1/FAILURE)\n",[28,1746,1744],{"__ignoreMap":97},[20,1748,1749,1750,1753,1754,453,1757,1760,1761,1763],{},"Симптомы: команда ",[28,1751,1752],{},"sudo ufw status"," возвращает ",[28,1755,1756],{},"Status: inactive",[28,1758,1759],{},"Error: could not load kernel modules",", а попытка включить (",[28,1762,1082],{},") завершается ошибкой.",[15,1765,1767],{"id":1766},"причины-возникновения","Причины возникновения",[46,1769,1770,1784,1795,1808,1817],{},[49,1771,1772,1775,1776,1779,1780,1783],{},[23,1773,1774],{},"Повреждённые конфигурационные файлы",". Файл ",[28,1777,1778],{},"/etc/ufw/ufw.conf"," или правила в ",[28,1781,1782],{},"/etc/ufw/"," могут содержать синтаксические ошибки.",[49,1785,1786,1789,1790,1722,1792,1794],{},[23,1787,1788],{},"Отсутствие или повреждение зависимостей",". UFW требует ",[28,1791,30],{},[28,1793,922],{},") и ядерных модулей. Если они не установлены или повреждены, сервис не стартует.",[49,1796,1797,1800,1801,1804,1805,1807],{},[23,1798,1799],{},"Конфликт с другим фаерволом",". Если запущен ",[28,1802,1803],{},"firewalld"," или настроены ручные правила ",[28,1806,30],{},", UFW может не получить контроль над сетевыми таблицами.",[49,1809,1810,1813,1814,1816],{},[23,1811,1812],{},"Неправильные права на файлы",". У сервиса ",[28,1815,1020],{}," может не быть прав на чтение своих конфигураций или запись в системные директории.",[49,1818,1819,1822,1823,1826,1827,1830],{},[23,1820,1821],{},"Проблемы с ядром",". В редких случаях модули ядра ",[28,1824,1825],{},"nf_conntrack",", ",[28,1828,1829],{},"iptable_filter"," и другие могут быть отключены или повреждены.",[15,1832,1834],{"id":1833},"способ-1-перезапуск-и-сброс-службы","Способ 1: Перезапуск и сброс службы",[20,1836,1837],{},"Часто помогает простой перезапуск службы и сброс конфигурации к стандартным настройкам.",[46,1839,1840,1878,1901],{},[49,1841,1842,1598,1845,1872,1490,1874,1877],{},[23,1843,1844],{},"Принудительно остановите и сбросьте UFW",[92,1846,1848],{"className":94,"code":1847,"language":96,"meta":97,"style":97},"sudo ufw --force disable\nsudo ufw --force reset\n",[28,1849,1850,1861],{"__ignoreMap":97},[101,1851,1852,1854,1856,1859],{"class":103,"line":104},[101,1853,57],{"class":107},[101,1855,127],{"class":110},[101,1857,1858],{"class":130}," --force",[101,1860,539],{"class":110},[101,1862,1863,1865,1867,1869],{"class":103,"line":117},[101,1864,57],{"class":107},[101,1866,127],{"class":110},[101,1868,1858],{"class":130},[101,1870,1871],{"class":110}," reset\n",[572,1873],{},[28,1875,1876],{},"--force"," отменяет все активные правила и возвращает UFW к состоянию \"как после установки\".",[49,1879,1880,1598,1883],{},[23,1881,1882],{},"Перезапустите демон",[92,1884,1886],{"className":94,"code":1885,"language":96,"meta":97,"style":97},"sudo systemctl restart ufw\n",[28,1887,1888],{"__ignoreMap":97},[101,1889,1890,1892,1895,1898],{"class":103,"line":104},[101,1891,57],{"class":107},[101,1893,1894],{"class":110}," systemctl",[101,1896,1897],{"class":110}," restart",[101,1899,1900],{"class":110}," ufw\n",[49,1902,1903,1598,1906,1931,1933,1934,1937],{},[23,1904,1905],{},"Проверьте статус",[92,1907,1909],{"className":94,"code":1908,"language":96,"meta":97,"style":97},"sudo systemctl status ufw\nsudo ufw status verbose\n",[28,1910,1911,1921],{"__ignoreMap":97},[101,1912,1913,1915,1917,1919],{"class":103,"line":104},[101,1914,57],{"class":107},[101,1916,1894],{"class":110},[101,1918,356],{"class":110},[101,1920,1900],{"class":110},[101,1922,1923,1925,1927,1929],{"class":103,"line":117},[101,1924,57],{"class":107},[101,1926,127],{"class":110},[101,1928,356],{"class":110},[101,1930,439],{"class":110},[572,1932],{},"Если статус стал ",[28,1935,1936],{},"active (exited)",", файрвол работает.",[755,1939],{},[15,1941,1943],{"id":1942},"способ-2-диагностика-зависимостей-и-конфигурации","Способ 2: Диагностика зависимостей и конфигурации",[20,1945,1946],{},"Если простой сброс не помог, нужно проверить системные компоненты.",[46,1948,1949,1991,2054],{},[49,1950,1951,1598,1954,1983,1985,1986,1988,1989,498],{},[23,1952,1953],{},"Убедитесь, что установлены все пакеты",[92,1955,1957],{"className":94,"code":1956,"language":96,"meta":97,"style":97},"sudo apt update\nsudo apt install --reinstall ufw iptables\n",[28,1958,1959,1967],{"__ignoreMap":97},[101,1960,1961,1963,1965],{"class":103,"line":104},[101,1962,57],{"class":107},[101,1964,111],{"class":110},[101,1966,114],{"class":110},[101,1968,1969,1971,1973,1975,1978,1980],{"class":103,"line":117},[101,1970,57],{"class":107},[101,1972,111],{"class":110},[101,1974,124],{"class":110},[101,1976,1977],{"class":130}," --reinstall",[101,1979,127],{"class":110},[101,1981,1982],{"class":110}," iptables\n",[572,1984],{},"Для систем на ",[28,1987,922],{}," (например, newer Ubuntu) может потребоваться ",[28,1990,922],{},[49,1992,1993,1598,1996,2019,2021,2022,1826,2024,1826,2026,2029,2030],{},[23,1994,1995],{},"Проверьте загруженные модули ядра",[92,1997,1999],{"className":94,"code":1998,"language":96,"meta":97,"style":97},"lsmod | grep -E 'iptable|nf_'\n",[28,2000,2001],{"__ignoreMap":97},[101,2002,2003,2006,2010,2013,2016],{"class":103,"line":104},[101,2004,2005],{"class":107},"lsmod",[101,2007,2009],{"class":2008},"szBVR"," |",[101,2011,2012],{"class":107}," grep",[101,2014,2015],{"class":130}," -E",[101,2017,2018],{"class":110}," 'iptable|nf_'\n",[572,2020],{},"Должны быть видны модули ",[28,2023,1829],{},[28,2025,1825],{},[28,2027,2028],{},"nf_defrag_ipv4"," и подобные. Если их нет, загрузите:",[92,2031,2033],{"className":94,"code":2032,"language":96,"meta":97,"style":97},"sudo modprobe iptable_filter\nsudo modprobe nf_conntrack\n",[28,2034,2035,2045],{"__ignoreMap":97},[101,2036,2037,2039,2042],{"class":103,"line":104},[101,2038,57],{"class":107},[101,2040,2041],{"class":110}," modprobe",[101,2043,2044],{"class":110}," iptable_filter\n",[101,2046,2047,2049,2051],{"class":103,"line":117},[101,2048,57],{"class":107},[101,2050,2041],{"class":110},[101,2052,2053],{"class":110}," nf_conntrack\n",[49,2055,2056,1598,2059,2085,2087,2088,2091,2092,2094,2095,498],{},[23,2057,2058],{},"Проверьте целостность конфигурации UFW",[92,2060,2062],{"className":94,"code":2061,"language":96,"meta":97,"style":97},"sudo ufw debug on\nsudo ufw start\n",[28,2063,2064,2076],{"__ignoreMap":97},[101,2065,2066,2068,2070,2073],{"class":103,"line":104},[101,2067,57],{"class":107},[101,2069,127],{"class":110},[101,2071,2072],{"class":110}," debug",[101,2074,2075],{"class":110}," on\n",[101,2077,2078,2080,2082],{"class":103,"line":117},[101,2079,57],{"class":107},[101,2081,127],{"class":110},[101,2083,2084],{"class":110}," start\n",[572,2086],{},"Режим отладки покажет детальную ошибку в логах (",[28,2089,2090],{},"journalctl -u ufw -f","). Частые проблемы: неверные пути в ",[28,2093,1778],{}," или битый синтаксис в файлах правил ",[28,2096,2097],{},"/etc/ufw/applications.d/",[15,2099,2101],{"id":2100},"способ-3-полная-переустановка-и-очистка-systemd","Способ 3: Полная переустановка и очистка systemd",[20,2103,2104],{},"Если проблема глубоко в состоянии службы, поможет \"чистая\" установка.",[46,2106,2107,2151,2171],{},[49,2108,2109,2112,2113],{},[23,2110,2111],{},"Удалите UFW полностью"," (сохранение правил не гарантируется, сделайте резервную копию вручную при необходимости):",[92,2114,2116],{"className":94,"code":2115,"language":96,"meta":97,"style":97},"sudo apt purge ufw\nsudo rm -rf /etc/ufw\nsudo systemctl daemon-reload\n",[28,2117,2118,2129,2142],{"__ignoreMap":97},[101,2119,2120,2122,2124,2127],{"class":103,"line":104},[101,2121,57],{"class":107},[101,2123,111],{"class":110},[101,2125,2126],{"class":110}," purge",[101,2128,1900],{"class":110},[101,2130,2131,2133,2136,2139],{"class":103,"line":117},[101,2132,57],{"class":107},[101,2134,2135],{"class":110}," rm",[101,2137,2138],{"class":130}," -rf",[101,2140,2141],{"class":110}," /etc/ufw\n",[101,2143,2144,2146,2148],{"class":103,"line":163},[101,2145,57],{"class":107},[101,2147,1894],{"class":110},[101,2149,2150],{"class":110}," daemon-reload\n",[49,2152,2153,1598,2156],{},[23,2154,2155],{},"Установите заново",[92,2157,2159],{"className":94,"code":2158,"language":96,"meta":97,"style":97},"sudo apt install ufw\n",[28,2160,2161],{"__ignoreMap":97},[101,2162,2163,2165,2167,2169],{"class":103,"line":104},[101,2164,57],{"class":107},[101,2166,111],{"class":110},[101,2168,124],{"class":110},[101,2170,1900],{"class":110},[49,2172,2173,1598,2176,2223,2225],{},[23,2174,2175],{},"Включите и настройте с нуля",[92,2177,2179],{"className":94,"code":2178,"language":96,"meta":97,"style":97},"sudo ufw enable\nsudo ufw default deny incoming\nsudo ufw default allow outgoing\nsudo ufw allow ssh\n",[28,2180,2181,2189,2201,2213],{"__ignoreMap":97},[101,2182,2183,2185,2187],{"class":103,"line":104},[101,2184,57],{"class":107},[101,2186,127],{"class":110},[101,2188,391],{"class":110},[101,2190,2191,2193,2195,2197,2199],{"class":103,"line":117},[101,2192,57],{"class":107},[101,2194,127],{"class":110},[101,2196,205],{"class":110},[101,2198,208],{"class":110},[101,2200,211],{"class":110},[101,2202,2203,2205,2207,2209,2211],{"class":103,"line":163},[101,2204,57],{"class":107},[101,2206,127],{"class":110},[101,2208,205],{"class":110},[101,2210,157],{"class":110},[101,2212,233],{"class":110},[101,2214,2215,2217,2219,2221],{"class":103,"line":170},[101,2216,57],{"class":107},[101,2218,127],{"class":110},[101,2220,157],{"class":110},[101,2222,160],{"class":110},[572,2224],{},"После этого сервис должен запуститься без ошибок.",[15,2227,2229],{"id":2228},"профилактика","Профилактика",[2231,2232,2233,2247,2256,2269],"ul",{},[49,2234,2235,2238,2239,2242,2243,2246],{},[23,2236,2237],{},"Не редактируйте файлы правил вручную"," (",[28,2240,2241],{},"/etc/ufw/user.rules","), используйте только ",[28,2244,2245],{},"ufw allow/deny",". Ручное редактирование часто ломает парсинг.",[49,2248,2249,2252,2253,498],{},[23,2250,2251],{},"Перед изменением конфигурации"," делайте бэкап: ",[28,2254,2255],{},"sudo cp -r /etc/ufw /etc/ufw.backup",[49,2257,2258,2261,2262,2265,2266,2268],{},[23,2259,2260],{},"Регулярно обновляйте систему",": ",[28,2263,2264],{},"sudo apt upgrade",", так как обновления ядра и ",[28,2267,30],{}," могут влиять на совместимость.",[49,2270,2271,2238,2274,1826,2276,2278,2279,2281,2282,498],{},[23,2272,2273],{},"Избегайте параллельного использования других фаерволов",[28,2275,1803],{},[28,2277,30],{}," вручную). Если нужен ",[28,2280,1803],{},", полностью отключите UFW: ",[28,2283,2284],{},"sudo systemctl disable --now ufw",[931,2286,2287],{},"html pre.shiki code .sScJk, html code.shiki .sScJk{--shiki-default:#6F42C1;--shiki-dark:#B392F0}html pre.shiki code .sZZnC, html code.shiki .sZZnC{--shiki-default:#032F62;--shiki-dark:#9ECBFF}html pre.shiki code .sj4cs, html code.shiki .sj4cs{--shiki-default:#005CC5;--shiki-dark:#79B8FF}html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html pre.shiki code .szBVR, html code.shiki .szBVR{--shiki-default:#D73A49;--shiki-dark:#F97583}",{"title":97,"searchDepth":117,"depth":117,"links":2289},[2290,2291,2292,2293,2294,2295],{"id":1713,"depth":117,"text":1714},{"id":1766,"depth":117,"text":1767},{"id":1833,"depth":117,"text":1834},{"id":1942,"depth":117,"text":1943},{"id":2100,"depth":117,"text":2101},{"id":2228,"depth":117,"text":2229},"2026-04-08 19:50:41","Ошибка 'UFW service failed' мешает управлять файрволом. Пошаговая инструкция по диагностике и восстановлению UFW на Ubuntu/Debian. Решение за 5 минут.","5-10 мин",[2300,2303,2306,2309],{"question":2301,"answer":2302},"Почему UFW не запускается после перезагрузки?","Чаще всего из-за конфликта конфигурационных файлов, отсутствия зависимостей (например, `iptables`) или повреждённого состояния сервиса в systemd.",{"question":2304,"answer":2305},"Как проверить статус UFW, если он не запускается?","Используйте команду `sudo systemctl status ufw` для просмотра деталей ошибки и `sudo ufw status verbose` для проверки текущей конфигурации.",{"question":2307,"answer":2308},"Можно ли обойтись без UFW, используя только iptables?","Да, но это сложнее. UFW — удобный фронтенд для iptables/nftables. Если UFW не работает, можно управлять фаерволом напрямую через `iptables`, но это требует ручной настройки правил.",{"question":2310,"answer":2311},"Приводит ли отключение UFW к уязвимости системы?","Да, отключение файрвола открывает порты для внешних подключений. Если UFW не работает, рекомендуется временно использовать `iptables` для базовой защиты или отключить ненужные сетевые службы.",[2313,2316,2319],{"name":2314,"text":2315},"Перезапустите сервис UFW","Выполните команду перезапуска, чтобы systemd попытался исправить временные сбои.",{"name":2317,"text":2318},"Проверьте зависимости и конфигурацию","Убедитесь, что установлены所有 необходимые пакеты и конфигурационные файлы не повреждены.",{"name":2320,"text":2321},"Переустановите UFW","Если проблема в битых пакетах, полная переустановка поможет восстановить штатные файлы.","PT10M",[2324,2325,2326,2327,2328,2329,2330,2331],"ufw service failed","ufw не запускается","ошибка ufw ubuntu","firewall ufw не работает","как исправить ufw","ufw status error","ufw enable failed","linux файрвол не включается",{},[2334,2335,2336],"/errors/linux/netfilter-error","/guides/linux/ufw-basic-setup","/errors/linux/systemd-service-failed","Ошибки Linux",{"title":1704,"description":2297},"errors/linux/ufw-service-failed","Статья объясняет, почему сервис UFW не запускается в Linux, и предлагает 3 проверенных способа восстановления работы файрвола через терминал.",[2337,2342,2343,2344,2345,1700,1630],"UFW","Firewall","Ubuntu","Debian","error","8nufhdQuJXAF8cfMduPXGEN78SUyP6wEkLTQnwZ8-cY"]