转载:如何在Ubuntu 18.04上使用UFW设置防火墙
https://blog.csdn.net/u013068789/article/details/82051943
介绍
UFW或Uncomplicated Firewall是iptables
一个接口,旨在简化配置防火墙的过程。 虽然iptables
是一个可靠而灵活的工具,但初学者很难学会如何使用它来正确配置防火墙。 如果您希望开始保护网络,并且您不确定使用哪种工具,UFW可能是您的正确选择。
本教程将向您展示如何在Ubuntu 18.04上使用UFW设置防火墙。
先决条件
要学习本教程,您需要:
- 一个带有sudo非root用户的Ubuntu 18.04服务器,您可以按照Ubuntu 18.04教程的初始服务器设置中的第1步-3进行设置 。
UFW默认安装在Ubuntu上。 如果由于某种原因已经卸载,可以使用sudo apt install ufw
。
第1步 - 将IPv6与UFW一起使用(可选)
本教程是在考虑IPv4的情况下编写的,但只要您启用IPv6,它将适用于IPv6。 如果您的Ubuntu服务器已启用IPv6,请确保将UFW配置为支持IPv6,以便除IPv4之外还管理IPv6的防火墙规则。 要执行此操作,请使用nano
或您喜欢的编辑器打开UFW配置。
sudo nano /etc/default/ufw
然后确保IPV6
值为yes
。 它应该如下所示:
/ etc / default / ufw摘录
IPV6=yes
保存并关闭文件。 现在,当启用UFW时,它将配置为同时写入IPv4和IPv6防火墙规则。 但是,在启用UFW之前,我们需要确保将防火墙配置为允许您通过SSH进行连接。 让我们从设置默认策略开始。
第2步 - 设置默认策略
如果您刚刚开始使用防火墙,则要定义的第一个规则是您的默认策略。 这些规则控制如何处理未明确匹配任何其他规则的流量。 默认情况下,UFW设置为拒绝所有传入连接并允许所有传出连接。 这意味着任何试图访问您的服务器的人都无法连接,而服务器中的任何应用程序都可以访问外部世界。
让我们将您的UFW规则设置回默认值,以便我们确保您能够按照本教程进行操作。 要设置UFW使用的默认值,请使用以下命令:
- sudo ufw default deny incoming
- sudo ufw default allow outgoing
这些命令将默认设置为拒绝传入并允许传出连接。 仅这些防火墙默认值可能足以用于个人计算机,但服务器通常需要响应来自外部用户的传入请求。 我们接下来会调查一下。
第3步 - 允许SSH连接
如果我们现在启用了我们的UFW防火墙,它将拒绝所有传入的连接。 这意味着,如果我们希望服务器响应这些类型的请求,我们将需要创建明确允许合法传入连接的规则 - 例如SSH或HTTP连接。 如果您使用的是云服务器,则可能需要允许传入的SSH连接,以便连接和管理服务器。
要将服务器配置为允许传入SSH连接,可以使用以下命令:
sudo ufw allow ssh
这将创建防火墙规则,允许端口22
上的所有连接,这是SSH守护程序默认监听的端口。 UFW知道什么端口allow ssh
意思,因为它在/etc/services
文件中列为/etc/services
。
但是,我们实际上可以通过指定端口而不是服务名来编写等效规则。 例如,此命令与上面的命令相同:
sudo ufw allow 22
如果将SSH守护程序配置为使用其他端口,则必须指定相应的端口。 例如,如果SSH服务器正在监听端口2222
,则可以使用此命令允许该端口上的连接:
sudo ufw allow 2222
现在您的防火墙已配置为允许传入SSH连接,我们可以启用它。
第4步 - 启用UFW
要启用UFW,请使用以下命令:
sudo ufw enable
您将收到一条警告,指出该命令可能会破坏现有的SSH连接。 我们已经设置了允许SSH连接的防火墙规则,因此可以继续。 用y
回应提示ENTER
。
防火墙现在处于活动状态。 运行sudo ufw status verbose
命令以查看已设置的规则。 本教程的其余部分将介绍如何更详细地使用UFW,例如允许或拒绝不同类型的连接。
第5步 - 允许其他连接
此时,您应该允许服务器需要响应的所有其他连接。 您应该允许的连接取决于您的特定需求。 幸运的是,您已经知道如何编写允许基于服务名称或端口的连接的规则; 我们已经在端口22
上为SSH做了这个。 你也可以这样做:
- 端口80上的HTTP,这是未加密的Web服务器使用的,使用
sudo ufw allow http
或sudo ufw allow 80
- 端口443上的HTTPS,这是加密的Web服务器使用的,使用
sudo ufw allow https
或sudo ufw allow 443
除了指定端口或已知服务之外,还有其他几种允许其他连接的方法。
特定端口范围
您可以使用UFW指定端口范围。 某些应用程序使用多个端口,而不是单个端口。
例如,要允许使用端口6000
- 6007
X11连接,请使用以下命令:
- sudo ufw allow 6000:6007/tcp
- sudo ufw allow 6000:6007/udp
使用UFW指定端口范围时,必须指定规则应适用的协议( tcp
或udp
)。 我们之前没有提到这一点,因为没有指定协议会自动允许两种协议,这在大多数情况下都可以。
特定的IP地址
使用UFW时,您还可以指定IP地址。 例如,如果要允许来自特定IP地址的连接,例如工作或家庭IP地址203.0.113.4
,则需要指定from
,然后指定IP地址:
sudo ufw allow from 203.0.113.4
您还可以通过添加to any port
后跟端口号to any port
指定允许IP地址连接的特定端口。 例如,如果要允许203.0.113.4
连接到端口22
(SSH),请使用以下命令:
sudo ufw allow from 203.0.113.4 to any port 22
子网
如果要允许IP地址子网,可以使用CIDR表示法指定网络掩码。 例如,如果要允许所有IP地址范围从203.0.113.1
到203.0.113.254
,则可以使用此命令:
sudo ufw allow from 203.0.113.0/24
同样,您也可以指定允许子网203.0.113.0/24
连接的目标端口。 同样,我们将使用端口22
(SSH)作为示例:
sudo ufw allow from 203.0.113.0/24 to any port 22
与特定网络接口的连接
如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定“允许接通”,然后指定网络接口的名称来执行此操作。
您可能希望在继续之前查找网络接口。 为此,请使用以下命令:
ip addr
- Output Excerpt2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
- . . .
- 3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
- . . .
突出显示的输出表示网络接口名称。 它们通常被命名为eth0
或enp3s2
。
因此,如果您的服务器具有名为eth0
的公共网络接口,则可以使用以下命令允许HTTP流量(端口80
):
sudo ufw allow in on eth0 to any port 80
这样做将允许您的服务器从公共互联网接收HTTP请求。
或者,如果您希望MySQL数据库服务器(端口3306
)监听专用网络接口eth1
上的连接,例如,您可以使用此命令:
sudo ufw allow in on eth1 to any port 3306
这将允许专用网络上的其他服务器连接到MySQL数据库。
第6步 - 拒绝连接
如果尚未更改传入连接的默认策略,则UFW配置为拒绝所有传入连接。 通常,这会通过要求您创建明确允许特定端口和IP地址的规则来简化创建安全防火墙策略的过程。
但是,有时您会希望根据源IP地址或子网拒绝特定连接,可能是因为您知道您的服务器正在受到攻击。 此外,如果要将默认传入策略更改为允许 (不建议这样做),则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。
要编写拒绝规则,您可以使用上述命令,将allow替换为deny 。
例如,要拒绝HTTP连接,可以使用以下命令:
sudo ufw deny http
或者,如果要拒绝来自203.0.113.4
所有连接,可以使用此命令:
sudo ufw deny from 203.0.113.4
现在让我们来看看如何删除规则。
第7步 - 删除规则
了解如何删除防火墙规则与了解如何创建防火墙规则同样重要。 有两种不同的方法可以指定要删除的规则:按规则编号或实际规则(类似于创建规则时的规则)。 我们将从规则编号方法删除开始,因为它更容易。
按规则编号
如果您使用规则编号删除防火墙规则,那么您要做的第一件事就是获取防火墙规则列表。 UFW status命令可以选择显示每个规则旁边的数字,如下所示:
sudo ufw status numbered
- Numbered Output:Status: active
- To Action From
- -- ------ ----
- [ 1] 22 ALLOW IN 15.15.15.0/24
- [ 2] 80 ALLOW IN Anywhere
如果我们决定要删除允许端口80(HTTP)连接的规则2,我们可以在UFW删除命令中指定它,如下所示:
sudo ufw delete 2
这将显示确认提示,然后删除规则2,允许HTTP连接。 请注意,如果启用了IPv6,则还需要删除相应的IPv6规则。
按实际规则
规则编号的替代方法是指定要删除的实际规则。 例如,如果要删除allow http
规则,可以这样写:
sudo ufw delete allow http
您还可以通过allow 80
而不是服务名称来指定规则:
sudo ufw delete allow 80
此方法将删除IPv4和IPv6规则(如果存在)。
第8步 - 检查UFW状态和规则
您可以随时使用以下命令检查UFW的状态:
sudo ufw status verbose
如果UFW被禁用,默认情况下,你会看到如下内容:
OutputStatus: inactive
如果UFW处于活动状态,如果您按照第3步进行操作,输出将表明它处于活动状态,并且它将列出所有已设置的规则。例如,如果防火墙设置为允许来自任何地方的SSH(端口22
)连接,则输出可能如下所示:
- OutputStatus: active
- Logging: on (low)
- Default: deny (incoming), allow (outgoing), disabled (routed)
- New profiles: skip
- To Action From
- -- ------ ----
- 22/tcp ALLOW IN Anywhere
如果要检查UFW如何配置防火墙,请使用status
命令。
第9步 - 禁用或重置UFW(可选)
如果您决定不想使用UFW,可以使用以下命令禁用它:
sudo ufw disable
您使用UFW创建的任何规则将不再处于活动状态。 如果您以后需要激活它,可以随时运行sudo ufw enable
。
如果您已经配置了UFW规则但是您决定要重新开始,则可以使用reset命令:
sudo ufw reset
这将禁用UFW并删除先前定义的任何规则。 请注意,如果您在任何时候修改了默认策略,默认策略都不会更改为原始设置。 这应该会让你重新开始使用UFW。
结论
您的防火墙现在配置为允许(至少)SSH连接。 确保允许服务器的任何其他传入连接,同时限制任何不必要的连接,以便您的服务器功能和安全。
转载:如何在Ubuntu 18.04上使用UFW设置防火墙的更多相关文章
- 如何在Ubuntu 18.04上安装Go
如何在Ubuntu 18.04上安装Go 谢鸢发表于云计算教程系列订阅98 介绍 课程准备 第1步 - 安装Go 第2步 - 设置Go路径 第3步 - 测试您的安装 结论 介绍 Go是Google开发 ...
- 如何在Ubuntu 18.04上安装Pip
一.简介: Pip是一个软件包管理系统,它简化了用Python编写的软件包(如Python包索引(PyPI)中的软件包)的安装和管理. 在Ubuntu 18.04上缺省没有安装Pip,但安装非常简单. ...
- 如何在Ubuntu 18.04上安装Django
Django是一个免费的开源高级Python Web框架,旨在帮助开发人员构建安全,可扩展和可维护的Web应用程序. 根据您的需要,有不同的方法来安装Django.它可以使用pip在系统范围内安装或在 ...
- 如何在Ubuntu 18.04上安装和配置Apache 2 Web服务器(转)
如何在Ubuntu 18.04上安装和配置Apache 2 Web服务器 什么是Apache Web Server? Apache或Apache HTTP服务器是一个免费的开源Web服务器,由Apac ...
- 如何在Ubuntu 18.04上安装Apache Web服务器
一. apt库安装 1.在终端输入更新检查命令,sudo apt-get update 2. 在更新完成后(如果不想检查更新,也可直接输入此步)输入:sudo apt-get install apac ...
- 如何在Ubuntu 18.04上安装和卸载TeamViewer
卸载命令:sudo apt --purge remove teamviewer 安装:https://www.linuxidc.com/Linux/2018-05/152282.htm 如何在Ubun ...
- 如何在Ubuntu 18.04上安装Nginx
Nginx功能之强大,想必大家比我更清楚. 百度百科:Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务.Nginx是由伊戈尔 ...
- 如何在Ubuntu 18.04 LTS上安装和配置MongoDB
MongoDB是一款非关系型数据库,提供高性能,高可用性和自动扩展企业数据库. MongoDB是一个非关系型数据库,因此您不能使用SQL(结构化查询语言)插入和检索数据,也不会将数据存储在MySQL或 ...
- 如何在Ubuntu 16.04上安装Apache Web服务器
转载自:https://www.howtoing.com/how-to-install-the-apache-web-server-on-ubuntu-16-04 介绍 Apache HTTP服务器是 ...
随机推荐
- 基于Alpha-Beta剪枝的欢乐斗地主残局辅助
2019年4月17日更新: 将搜索主函数优化为局部记忆化搜索,再次提高若干倍搜索速度 更新了main和player,helper无更新 #include "Player-v3.0.cpp&q ...
- mysql 开发进阶篇系列 19 MySQL Server(innodb_flush_log_at_trx_commit与sync_binlog)
一. innodb_flush_log_at_trx_commit 这个参数名称有个log,一看就是与日志有关.是指:用来控制缓冲区(log buffer)中的数据写入到日志文件(log file), ...
- Future、Callable 、FutureTask详解
1.Future和Callable Future是一个接口表示异步计算的结果,它提供了检查计算是否完成的方法,以等待计算的完成,并获取计算的结果.Future提供了get().cancel().isC ...
- Linux下的java虚拟机性能监控与故障处理命令
java包中提供了很多监控JVM的工具类,作为java程序员必须得掌握常用的几个工具,下面是几个常用的JVM性能监控与故障处理工具的介绍与使用. 1.jstack 该命令用于生成当前时刻虚拟机的线程快 ...
- bash内置命令mapfile:读取文件内容到数组
bash提供了两个内置命令:readarray和mapfile,它们是同义词.它们的作用是从标准输入读取一行行的数据,然后每一行都赋值给一个数组的各元素.显然,在shell编程中更常用的是从文件.从管 ...
- 设计shell脚本选项:getopt
man 1 getopt翻译:https://www.cnblogs.com/f-ck-need-u/p/9757959.html 写shell脚本的时候,通过while.case.shift来设计脚 ...
- 华为交换机以 LACP 模式实现链路聚合
LACP 链路聚合模式简介 以太网链路聚合是指将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加链路带宽的目的.链路聚合分为手工模式和LACP模式. LACP模式需要有链路聚合控制协议LAC ...
- nginx实现动态/静态文件缓存(week4_day1_part2)-技术流ken
nginx实现静态文件缓存实战 1.nginx静态文件缓存 如果要熟练使用nginx来实现文件的缓存,那下面的几个指令你必须要牢记于心 指令1:proxy_cache_path 作用:设置缓存数据的相 ...
- shell编程基础(一): 基本变量和基本符号
一.shell历史 Shell的作用是解释执行用户的命令,用户输入一条命令,Shell就解释执行一条,这种方式称为交互式(Interactive),Shell还有一种执行命令的方式称为批处理(Batc ...
- eclipse如何将项目上传到码云
把Eclipse项目上传到码云的步骤: 一.将代码提交到本地 1.登录码云:新建项目 2.输入项目名: 3.空项目创建成功如下图: 4.右键点击Eclipse的项目,选择“Team”——>“Sh ...