ubuntu防火墻ufw使用教程

藍隊云小課堂：

查看ubuntu版本

cat /etc/issue

或者

lsb_release -a

防火墻

由于Linux原始的防火墻工具iptables過于繁瑣，所以ubuntu默認提供了一個基于iptable之上的防火墻工具ufw。 ubuntu 系統(tǒng)默認已安裝ufw。ubuntu 9.10默認的便是UFW防火墻，它已經(jīng)支持界面操作了。在命令行運行ufw命令就可以看到提示的一系列可進行的操作。

可檢查防火墻的狀態(tài)：

ufw status

防火墻版本：

ufw version

開啟/關(guān)閉防火墻：

ufw enable|disable

1.安裝

sudo apt-get install ufw

2.啟用

sudo ufw enable

sudo ufw default deny

運行以上兩條命令后，開啟了防火墻，并在系統(tǒng)啟動時自動開啟。關(guān)閉所有外部對本機的訪問，但本機訪問外部正常。

3.開啟/禁用

sudo ufw allow|deny [service]

打開或關(guān)閉某個端口，例如：

sudo ufw allow smtp　允許所有的外部IP訪問本機的25/tcp (smtp)端口

sudo ufw allow 22/tcp 允許所有的外部IP訪問本機的22/tcp (ssh)端口

sudo ufw allow 53 允許外部訪問53端口(tcp/udp)

sudo ufw allow from 192.168.1.100 允許此IP訪問所有的本機端口

sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

sudo ufw deny smtp 禁止外部訪問smtp服務

sudo ufw delete allow smtp 刪除上面建立的某條規(guī)則

4.查看防火墻狀態(tài) ufw status

一般用戶，只需如下設置：

apt-get install ufw ufw enable ufw default deny

以上三條命令已經(jīng)足夠安全了，如果你需要開放某些服務，再使用sudo ufw allow開啟。

開啟/關(guān)閉防火墻 (默認設置是’disable’)

ufw enable|disable

轉(zhuǎn)換日志狀態(tài)

ufw logging on|off

設置默認策略 (比如 “mostly open” vs “mostly closed”)

ufw default allow|deny

許可或者屏蔽端口 (可以在“status” 中查看到服務列表)?？梢杂谩皡f(xié)議：端口”的方式指定一個存在于/etc/services中的服務名稱，也可以通過包的meta-data。 ‘a(chǎn)llow’ 參數(shù)將把條目加入 /etc/ufw/maps ，而 ‘deny’ 則相反?；菊Z法如下：

ufw allow|deny [service]

顯示防火墻和端口的偵聽狀態(tài)，參見 /var/lib/ufw/maps。括號中的數(shù)字將不會被顯示出來。 ufw status

UFW 使用范例：

允許 53 端口 ufw allow 53

禁用 53 端口 ufw delete allow 53

允許 80 端口 ufw allow 80/tcp

禁用 80 端口 ufw delete allow 80/tcp

允許 smtp 端口 ufw allow smtp

刪除 smtp 端口的許可 ufw delete allow smtp

允許某特定 IP ufw allow from 192.168.254.254

刪除上面的規(guī)則 ufw delete allow from 192.168.254.254

linux 2.4內(nèi)核以后提供了一個非常優(yōu)秀的防火墻工具：netfilter/iptables,他免費且功能強大，可以對流入、流出的信息進行細化控制，它可以實現(xiàn)防火墻、NAT（網(wǎng)絡地址翻譯）和數(shù)據(jù)包的分割等功能。netfilter工作在內(nèi)核內(nèi)部，而iptables則是讓用戶定義規(guī)則集的表結(jié)構(gòu)。

但是iptables的規(guī)則稍微有些“復雜”，因此ubuntu提供了ufw這個設定工具，以簡化iptables的某些設定，其后臺仍然是 iptables。ufw 即uncomplicated firewall的簡稱，一些復雜的設定還是要去iptables。

ufw相關(guān)的文件和文件夾有：

/etc /ufw/：里面是一些ufw的環(huán)境設定文件，如 before.rules、after.rules、sysctl.conf、ufw.conf，及 for ip6 的 before6.rule 及 after6.rules。這些文件一般按照默認的設置進行就ok。

若開啟ufw之后，/etc/ufw/sysctl.conf會覆蓋默認的/etc/sysctl.conf文件，若你原來的/etc/sysctl.conf做了修改，啟動ufw后，若/etc/ufw/sysctl.conf中有新賦值，則會覆蓋/etc/sysctl.conf的，否則還以/etc /sysctl.conf為準。當然你可以通過修改/etc/default/ufw中的“IPT_SYSCTL=”條目來設置使用哪個 sysctrl.conf.

/var/lib/ufw/user.rules 這個文件中是我們設置的一些防火墻規(guī)則，打開大概就能看明白，有時我們可以直接修改這個文件，不用使用命令來設定。修改后記得ufw reload重啟ufw使得新規(guī)則生效。

下面是ufw命令行的一些示例：

ufw enable/disable:打開/關(guān)閉

ufw ufw status：查看已經(jīng)定義的ufw規(guī)則

ufw default allow/deny:外來訪問默認允許/拒絕

ufw allow/deny 20：允許/拒絕 訪問20端口,20后可跟/tcp或/udp，表示tcp或udp封包。

ufw allow/deny servicename:ufw從/etc/services中找到對應service的端口，進行過濾。

ufw allow proto tcp from 10.0.1.0/10 to 本機ip port 25:允許自10.0.1.0/10的tcp封包訪問本機的25端口。

ufw delete allow/deny 20:刪除以前定義的"允許/拒絕訪問20端口"的規(guī)則

UFW默認策略

默認情況下，UFW將阻止所有傳入連接并允許所有出站連接。 這意味著任何試圖訪問您的服務器的用戶都將無法連接，除非您專門打開該端口，而服務器上運行的所有應用程序和服務都將能夠訪問外部世界。

默認策略在/etc/default/ufw文件中定義，可以使用sudo ufw default

防火墻策略是構(gòu)建更詳細和用戶定義規(guī)則的基礎(chǔ)。 在大多數(shù)情況下，最初的UFW默認政策是一個很好的起點。

應用程序配置 使用apt安裝軟件包時，它將向/etc/ufw/applications.d目錄中添加應用程序配置文件，該目錄描述該服務并包含UFW設置。

您可以鍵入以下內(nèi)容列出服務器上可用的所有應用程序配置文件

ufw app list

根據(jù)系統(tǒng)上安裝的軟件包，輸出將如下所示：

可用應用程序： OpenSSH

如果您想要查找有關(guān)配置文件和包含規(guī)則的更多信息，可以使用以下命令：

ufw app info 'OpenSSH'

結(jié)果： Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol.

Port: 22/tcp

允許SSH連接

在啟用UFW防火墻之前，我們需要添加一個允許傳入SSH連接的規(guī)則。 如果您從遠程位置連接到服務器（幾乎總是如此），并且在明確允許傳入SSH連接之前啟用UFW防火墻，則您將不再能夠連接到您的Ubuntu服務器。

要配置您的UFW防火墻以允許傳入SSH連接，請鍵入以下命令：

ufw allow ssh

規(guī)則已添加 規(guī)則已添加 (v6)

如果您將SSH端口更改為自定義端口而不是端口22，則需要打開該端口。

例如，如果您的ssh守護進程在端口5522上偵聽，那么您可以使用以下命令來允許該端口上的連接：

ufw allow 5522/tcp

啟用UFW

現(xiàn)在您的UFW防火墻已配置為允許傳入SSH連接，我們可以通過鍵入以下命令啟用它：

ufw enable

允許其他端口上的連接

根據(jù)您的服務器上運行的應用程序和您的特定需求，您需要允許對其他端口的傳入訪問。

下面我們將向您展示一些如何允許傳入連接到一些最常見服務的例子：

打開端口80 - HTTP

使用以下命令可以允許HTTP連接： ufw allow http

你可以使用端口號80而不是http： ufw allow 80/tcp

或者您可以使用應用程序配置文件，在本例中是'Nginx HTTPS'：

sudo ufw allow 'Nginx HTTP'

打開端口443 - HTTPS

使用以下命令可以允許HTTP連接：

ufw allow https

要實現(xiàn)相同而不是https，您可以使用端口號443：

ufw allow 443/tcp

或者您可以使用應用程序配置文件，在本例中是'Nginx HTTPS'：

ufw allow 'Nginx HTTP'

打開端口8080

如果運行Tomcat或在端口8080上偵聽的任何其他應用程序以允許傳入連接，請輸入：

ufw allow 8080/tcp

允許端口范圍

UFW允許我們允許訪問端口范圍，而不是允許訪問單個端口。 使用UFW允許端口范圍時，您必須指定協(xié)議，即tcp或udp。 例如，如果要允許tcp和udp上的端口從8000到8100，則運行以下命令：

ufw allow 8000:8100/tcp

ufw allow 8000:8100/udp

允許特定的IP地址

如果您希望允許您的家庭計算機上的所有端口使用IP地址55.56.57.58訪問，則需要在IP地址之前指定： ufw allow from 55.56.57.58允許特定端口上的特定IP地址

要允許在特定端口上訪問，可以使用IP地址為55.56.57.58的工作機器上的端口22，然后您需要指定IP地址后面的任何端口和端口號：

ufw allow from 55.56.57.58 to any port 22

允許子網(wǎng)

允許連接到IP地址的子網(wǎng)的命令與使用單個IP地址時相同，唯一的區(qū)別是您需要指定網(wǎng)絡掩碼。 例如，如果你想允許訪問從192.168.1.1到192.168.1.254到3306（MySQL）的IP地址，你可以使用這個命令：

ufw allow from 192.168.1.0/24 to any port 3306

允許連接到特定的網(wǎng)絡接口

為了允許在特定端口上訪問，我們假設端口3306僅適用于特定的網(wǎng)絡接口eth2，那么您需要指定允許輸入以及網(wǎng)絡接口的名稱：

ufw allow in on eth2 to any port 3306

拒絕連接

所有傳入連接的默認策略設置為拒絕，如果您沒有更改它，UFW將阻止所有傳入連接，除非您專門打開連接。

假設您打開端口80和443，并且您的服務器受到33.34.35.0/34網(wǎng)絡的攻擊。 要拒絕來自33.34.35.0/34的所有連接，可以使用以下命令：

ufw deny from 33.34.35.0/34

如果您只想拒絕對端口80和443的訪問，則可以使用以下命令：

ufw deny from 23.24.25.0/24 to any port 80

ufw deny from 23.24.25.0/24 to any port 443

寫入拒絕規(guī)則與編寫允許規(guī)則相同，您只需將允許替換為拒絕。

禁用UFW

如果因任何原因想停止UFW并停用您可以使用的所有規(guī)則：

ufw disable

稍后如果您想要重新啟用UTF并激活所有規(guī)則，請輸入：

ufw enable

重置UFW

重置UFW將禁用UFW，并刪除所有活動規(guī)則。 如果您想恢復所有更改并重新開始，這很有幫助。

要重置UFW，只需輸入以下命令：

ufw reset

更多小知識，可聯(lián)系藍隊云一起探討。