دليل إعداد جدار الحماية UFW على Ubuntu و Debian للمطورين

أبرز النقاط

• UFW واجهة مبسّطة لإدارة netfilter في نواة لينكس، تُغنيك عن كتابة قواعد iptables المعقدة يدوياً
• الإصدار 0.36.x يعمل فعلياً عبر nftables حتى لو استخدمت صيغة iptables التقليدية
• تفعيل الجدار قبل فتح منفذ SSH قد يقطع اتصالك بالخادم — افتح المنفذ أولاً ثم فعّل UFW

يُعدّ إعداد جدار حماية فعّال الخطوة الأولى في تأمين أي خادم سحابي. تاريخياً اعتمد مديرو الأنظمة على أدوات مثل iptables، وهي قوية لكنها تتطلب منحنى تعلّم حاد. هنا يأتي دور UFW — اختصار Uncomplicated Firewall — كواجهة أمامية مبسّطة تترجم أوامر قصيرة وواضحة إلى قواعد يفهمها netfilter في نواة لينكس.

ما علاقة UFW بـ iptables و nftables؟

UFW لا يحلّ محل الجدار الناري في النواة، بل يديره. النواة تُرشّح حركة المرور عبر إطار netfilter الذي كان يُهيَّأ تقليدياً بـ iptables ثم حديثاً بـ nftables. كتابة تلك القواعد يدوياً فعّالة لكنها عرضة للأخطاء. UFW يجلس فوق هذه الآلية ويترجم أمراً بسيطاً مثل sudo ufw allow ssh إلى قواعد منخفضة المستوى تُنفَّذ في النواة.

في إصدارات Ubuntu و Debian الحديثة، يستخدم UFW 0.36.x واجهة nftables عبر طبقة التوافق iptables-nft؛ أي أنك حين تكتب بصيغة iptables، تُطبَّق القواعد فعلياً عبر nftables دون أن تشعر. للتحقق من الإصدار المثبّت نفّذ:

sudo ufw version

يعرض الأمر رقم الإصدار ورخصة الاستخدام، مثلاً: ufw 0.36.2 Copyright 2008-2023 Canonical Ltd.

كيف أثبّت UFW على Ubuntu أو Debian؟

في Ubuntu يأتي UFW مثبّتاً افتراضياً لكنه معطّل حتى تفعّله يدوياً. أما في Debian فقد تحتاج إلى تثبيته أولاً:

sudo apt update && sudo apt install ufw -y

بعد التثبيت تأكد من تفعيل دعم IPv6 إن كنت تستخدمه، عبر تحرير ملف /etc/default/ufw والتحقق من أن السطر IPV6=yes موجود.

ما القواعد الافتراضية التي يجب ضبطها أولاً؟

قبل فتح أي منفذ، حدّد السياسة العامة: هل تحظر كل شيء ثم تسمح بما تحتاج، أم العكس؟ الممارسة الآمنة هي حظر الاتصالات الواردة والسماح بالصادرة:

sudo ufw default deny incoming

sudo ufw default allow outgoing

هذا يعني أن أي طلب خارجي لن يصل إلى خادمك ما لم تُنشئ قاعدة صريحة تسمح به.

كيف أسمح بمنافذ وخدمات معيّنة؟

أهم خطوة قبل تفعيل UFW هي السماح بمنفذ SSH كي لا تفقد الاتصال بالخادم:

sudo ufw allow ssh

الأمر السابق يفتح المنفذ 22 لكلا البروتوكولين TCP و UDP. إذا غيّرت منفذ SSH إلى رقم آخر، استخدم:

sudo ufw allow 2222/tcp

• للسماح بـ HTTP: sudo ufw allow 80/tcp
• للسماح بـ HTTPS: sudo ufw allow 443/tcp
• للسماح بنطاق منافذ: sudo ufw allow 6000:6007/tcp

يمكنك أيضاً تقييد الوصول بعنوان IP محدد:

sudo ufw allow from 203.0.113.50 to any port 22

ما Application Profiles وكيف أستفيد منها؟

UFW يدعم ملفات تعريف للتطبيقات الشائعة. لعرض القائمة:

sudo ufw app list

لتفعيل ملف تعريف مثل Nginx Full الذي يفتح 80 و443 معاً:

sudo ufw allow 'Nginx Full'

كيف أحظر اتصالاً أو أحذف قاعدة؟

لحظر عنوان IP معيّن:

sudo ufw deny from 203.0.113.100

لحذف قاعدة، اعرض القواعد مرقّمة ثم احذف بالرقم:

sudo ufw status numbered

sudo ufw delete 3

كيف أفعّل UFW وأراقب السجلات؟

بعد إعداد القواعد، فعّل الجدار:

sudo ufw enable

ستظهر رسالة تحذير بأن الأمر قد يقطع اتصالات SSH الحالية؛ إذا سمحت بالمنفذ مسبقاً فلا مشكلة. لتفعيل التسجيل:

sudo ufw logging on

السجلات تُكتب افتراضياً في /var/log/ufw.log وتساعدك في تتبع المحاولات المحظورة.

كيف أعيد الإعدادات الافتراضية؟

إذا أردت البدء من الصفر:

sudo ufw reset

الأمر يحذف جميع القواعد ويعطّل UFW؛ ستحتاج إلى إعادة ضبط السياسات وتفعيله مجدداً.

الأسئلة الشائعة

هل UFW يعمل على Debian كما يعمل على Ubuntu؟

نعم، الأوامر متطابقة. الفرق الوحيد أن Debian قد لا يتضمن UFW افتراضياً فتحتاج إلى تثبيته عبر apt.

ماذا يحدث لو فعّلت UFW قبل السماح بـ SSH؟

ستُحظر جلسة SSH الحالية وستفقد الاتصال بالخادم. الحل الوحيد حينها الوصول عبر وحدة تحكم الاستضافة (Console) وتعطيل UFW أو إضافة قاعدة SSH.

هل أستطيع استخدام UFW مع Docker؟

Docker يُعدّل قواعد iptables مباشرة متجاوزاً UFW. لحماية حاويات Docker تحتاج إلى ضبط إضافي أو استخدام ufw-docker helper أو إدارة القواعد يدوياً في iptables.

كيف أتحقق من القواعد النشطة حالياً؟

نفّذ sudo ufw status verbose لعرض جميع القواعد مع تفاصيل البروتوكول والمنافذ.