ubuntu防火墻ufw使用教程

藍(lán)隊(duì)云小課堂：

查看ubuntu版本

cat /etc/issue

或者

lsb_release -a

防火墻

由于Linux原始的防火墻工具iptables過(guò)于繁瑣，所以u(píng)buntu默認(rèn)提供了一個(gè)基于iptable之上的防火墻工具ufw。 ubuntu 系統(tǒng)默認(rèn)已安裝ufw。ubuntu 9.10默認(rèn)的便是UFW防火墻，它已經(jīng)支持界面操作了。在命令行運(yùn)行ufw命令就可以看到提示的一系列可進(jìn)行的操作。

可檢查防火墻的狀態(tài)：

ufw status

防火墻版本：

ufw version

開(kāi)啟/關(guān)閉防火墻：

ufw enable|disable

1.安裝

sudo apt-get install ufw

2.啟用

sudo ufw enable

sudo ufw default deny

運(yùn)行以上兩條命令后，開(kāi)啟了防火墻，并在系統(tǒng)啟動(dòng)時(shí)自動(dòng)開(kāi)啟。關(guān)閉所有外部對(duì)本機(jī)的訪問(wèn)，但本機(jī)訪問(wèn)外部正常。

3.開(kāi)啟/禁用

sudo ufw allow|deny [service]

打開(kāi)或關(guān)閉某個(gè)端口，例如：

sudo ufw allow smtp　允許所有的外部IP訪問(wèn)本機(jī)的25/tcp (smtp)端口

sudo ufw allow 22/tcp 允許所有的外部IP訪問(wèn)本機(jī)的22/tcp (ssh)端口

sudo ufw allow 53 允許外部訪問(wèn)53端口(tcp/udp)

sudo ufw allow from 192.168.1.100 允許此IP訪問(wèn)所有的本機(jī)端口

sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

sudo ufw deny smtp 禁止外部訪問(wèn)smtp服務(wù)

sudo ufw delete allow smtp 刪除上面建立的某條規(guī)則

4.查看防火墻狀態(tài) ufw status

一般用戶，只需如下設(shè)置：

apt-get install ufw ufw enable ufw default deny

以上三條命令已經(jīng)足夠安全了，如果你需要開(kāi)放某些服務(wù)，再使用sudo ufw allow開(kāi)啟。

開(kāi)啟/關(guān)閉防火墻 (默認(rèn)設(shè)置是’disable’)

ufw enable|disable

轉(zhuǎn)換日志狀態(tài)

ufw logging on|off

設(shè)置默認(rèn)策略 (比如 “mostly open” vs “mostly closed”)

ufw default allow|deny

許可或者屏蔽端口 (可以在“status” 中查看到服務(wù)列表)?？梢杂谩皡f(xié)議：端口”的方式指定一個(gè)存在于/etc/services中的服務(wù)名稱，也可以通過(guò)包的meta-data。 ‘a(chǎn)llow’ 參數(shù)將把條目加入 /etc/ufw/maps ，而 ‘deny’ 則相反?；菊Z(yǔ)法如下：

ufw allow|deny [service]

顯示防火墻和端口的偵聽(tīng)狀態(tài)，參見(jiàn) /var/lib/ufw/maps。括號(hào)中的數(shù)字將不會(huì)被顯示出來(lái)。 ufw status

UFW 使用范例：

允許 53 端口 ufw allow 53

禁用 53 端口 ufw delete allow 53

允許 80 端口 ufw allow 80/tcp

禁用 80 端口 ufw delete allow 80/tcp

允許 smtp 端口 ufw allow smtp

刪除 smtp 端口的許可 ufw delete allow smtp

允許某特定 IP ufw allow from 192.168.254.254

刪除上面的規(guī)則 ufw delete allow from 192.168.254.254

linux 2.4內(nèi)核以后提供了一個(gè)非常優(yōu)秀的防火墻工具：netfilter/iptables,他免費(fèi)且功能強(qiáng)大，可以對(duì)流入、流出的信息進(jìn)行細(xì)化控制，它可以實(shí)現(xiàn)防火墻、NAT（網(wǎng)絡(luò)地址翻譯）和數(shù)據(jù)包的分割等功能。netfilter工作在內(nèi)核內(nèi)部，而iptables則是讓用戶定義規(guī)則集的表結(jié)構(gòu)。

但是iptables的規(guī)則稍微有些“復(fù)雜”，因此ubuntu提供了ufw這個(gè)設(shè)定工具，以簡(jiǎn)化iptables的某些設(shè)定，其后臺(tái)仍然是 iptables。ufw 即uncomplicated firewall的簡(jiǎn)稱，一些復(fù)雜的設(shè)定還是要去iptables。

ufw相關(guān)的文件和文件夾有：

/etc /ufw/：里面是一些ufw的環(huán)境設(shè)定文件，如 before.rules、after.rules、sysctl.conf、ufw.conf，及 for ip6 的 before6.rule 及 after6.rules。這些文件一般按照默認(rèn)的設(shè)置進(jìn)行就ok。

若開(kāi)啟ufw之后，/etc/ufw/sysctl.conf會(huì)覆蓋默認(rèn)的/etc/sysctl.conf文件，若你原來(lái)的/etc/sysctl.conf做了修改，啟動(dòng)ufw后，若/etc/ufw/sysctl.conf中有新賦值，則會(huì)覆蓋/etc/sysctl.conf的，否則還以/etc /sysctl.conf為準(zhǔn)。當(dāng)然你可以通過(guò)修改/etc/default/ufw中的“IPT_SYSCTL=”條目來(lái)設(shè)置使用哪個(gè) sysctrl.conf.

/var/lib/ufw/user.rules 這個(gè)文件中是我們?cè)O(shè)置的一些防火墻規(guī)則，打開(kāi)大概就能看明白，有時(shí)我們可以直接修改這個(gè)文件，不用使用命令來(lái)設(shè)定。修改后記得ufw reload重啟ufw使得新規(guī)則生效。

下面是ufw命令行的一些示例：

ufw enable/disable:打開(kāi)/關(guān)閉

ufw ufw status：查看已經(jīng)定義的ufw規(guī)則

ufw default allow/deny:外來(lái)訪問(wèn)默認(rèn)允許/拒絕

ufw allow/deny 20：允許/拒絕 訪問(wèn)20端口,20后可跟/tcp或/udp，表示tcp或udp封包。

ufw allow/deny servicename:ufw從/etc/services中找到對(duì)應(yīng)service的端口，進(jìn)行過(guò)濾。

ufw allow proto tcp from 10.0.1.0/10 to 本機(jī)ip port 25:允許自10.0.1.0/10的tcp封包訪問(wèn)本機(jī)的25端口。

ufw delete allow/deny 20:刪除以前定義的"允許/拒絕訪問(wèn)20端口"的規(guī)則

UFW默認(rèn)策略

默認(rèn)情況下，UFW將阻止所有傳入連接并允許所有出站連接。 這意味著任何試圖訪問(wèn)您的服務(wù)器的用戶都將無(wú)法連接，除非您專門打開(kāi)該端口，而服務(wù)器上運(yùn)行的所有應(yīng)用程序和服務(wù)都將能夠訪問(wèn)外部世界。

默認(rèn)策略在/etc/default/ufw文件中定義，可以使用sudo ufw default

防火墻策略是構(gòu)建更詳細(xì)和用戶定義規(guī)則的基礎(chǔ)。 在大多數(shù)情況下，最初的UFW默認(rèn)政策是一個(gè)很好的起點(diǎn)。

應(yīng)用程序配置 使用apt安裝軟件包時(shí)，它將向/etc/ufw/applications.d目錄中添加應(yīng)用程序配置文件，該目錄描述該服務(wù)并包含UFW設(shè)置。

您可以鍵入以下內(nèi)容列出服務(wù)器上可用的所有應(yīng)用程序配置文件

ufw app list

根據(jù)系統(tǒng)上安裝的軟件包，輸出將如下所示：

可用應(yīng)用程序： OpenSSH

如果您想要查找有關(guān)配置文件和包含規(guī)則的更多信息，可以使用以下命令：

ufw app info 'OpenSSH'

結(jié)果： Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol.

Port: 22/tcp

允許SSH連接

在啟用UFW防火墻之前，我們需要添加一個(gè)允許傳入SSH連接的規(guī)則。 如果您從遠(yuǎn)程位置連接到服務(wù)器（幾乎總是如此），并且在明確允許傳入SSH連接之前啟用UFW防火墻，則您將不再能夠連接到您的Ubuntu服務(wù)器。

要配置您的UFW防火墻以允許傳入SSH連接，請(qǐng)鍵入以下命令：

ufw allow ssh

規(guī)則已添加 規(guī)則已添加 (v6)

如果您將SSH端口更改為自定義端口而不是端口22，則需要打開(kāi)該端口。

例如，如果您的ssh守護(hù)進(jìn)程在端口5522上偵聽(tīng)，那么您可以使用以下命令來(lái)允許該端口上的連接：

ufw allow 5522/tcp

啟用UFW

現(xiàn)在您的UFW防火墻已配置為允許傳入SSH連接，我們可以通過(guò)鍵入以下命令啟用它：

ufw enable

允許其他端口上的連接

根據(jù)您的服務(wù)器上運(yùn)行的應(yīng)用程序和您的特定需求，您需要允許對(duì)其他端口的傳入訪問(wèn)。

下面我們將向您展示一些如何允許傳入連接到一些最常見(jiàn)服務(wù)的例子：

打開(kāi)端口80 - HTTP

使用以下命令可以允許HTTP連接： ufw allow http

你可以使用端口號(hào)80而不是http： ufw allow 80/tcp

或者您可以使用應(yīng)用程序配置文件，在本例中是'Nginx HTTPS'：

sudo ufw allow 'Nginx HTTP'

打開(kāi)端口443 - HTTPS

使用以下命令可以允許HTTP連接：

ufw allow https

要實(shí)現(xiàn)相同而不是https，您可以使用端口號(hào)443：

ufw allow 443/tcp

或者您可以使用應(yīng)用程序配置文件，在本例中是'Nginx HTTPS'：

ufw allow 'Nginx HTTP'

打開(kāi)端口8080

如果運(yùn)行Tomcat或在端口8080上偵聽(tīng)的任何其他應(yīng)用程序以允許傳入連接，請(qǐng)輸入：

ufw allow 8080/tcp

允許端口范圍

UFW允許我們?cè)试S訪問(wèn)端口范圍，而不是允許訪問(wèn)單個(gè)端口。 使用UFW允許端口范圍時(shí)，您必須指定協(xié)議，即tcp或udp。 例如，如果要允許tcp和udp上的端口從8000到8100，則運(yùn)行以下命令：

ufw allow 8000:8100/tcp

ufw allow 8000:8100/udp

允許特定的IP地址

如果您希望允許您的家庭計(jì)算機(jī)上的所有端口使用IP地址55.56.57.58訪問(wèn)，則需要在IP地址之前指定： ufw allow from 55.56.57.58允許特定端口上的特定IP地址

要允許在特定端口上訪問(wèn)，可以使用IP地址為55.56.57.58的工作機(jī)器上的端口22，然后您需要指定IP地址后面的任何端口和端口號(hào)：

ufw allow from 55.56.57.58 to any port 22

允許子網(wǎng)

允許連接到IP地址的子網(wǎng)的命令與使用單個(gè)IP地址時(shí)相同，唯一的區(qū)別是您需要指定網(wǎng)絡(luò)掩碼。 例如，如果你想允許訪問(wèn)從192.168.1.1到192.168.1.254到3306（MySQL）的IP地址，你可以使用這個(gè)命令：

ufw allow from 192.168.1.0/24 to any port 3306

允許連接到特定的網(wǎng)絡(luò)接口

為了允許在特定端口上訪問(wèn)，我們假設(shè)端口3306僅適用于特定的網(wǎng)絡(luò)接口eth2，那么您需要指定允許輸入以及網(wǎng)絡(luò)接口的名稱：

ufw allow in on eth2 to any port 3306

拒絕連接

所有傳入連接的默認(rèn)策略設(shè)置為拒絕，如果您沒(méi)有更改它，UFW將阻止所有傳入連接，除非您專門打開(kāi)連接。

假設(shè)您打開(kāi)端口80和443，并且您的服務(wù)器受到33.34.35.0/34網(wǎng)絡(luò)的攻擊。 要拒絕來(lái)自33.34.35.0/34的所有連接，可以使用以下命令：

ufw deny from 33.34.35.0/34

如果您只想拒絕對(duì)端口80和443的訪問(wèn)，則可以使用以下命令：

ufw deny from 23.24.25.0/24 to any port 80

ufw deny from 23.24.25.0/24 to any port 443

寫(xiě)入拒絕規(guī)則與編寫(xiě)允許規(guī)則相同，您只需將允許替換為拒絕。

禁用UFW

如果因任何原因想停止UFW并停用您可以使用的所有規(guī)則：

ufw disable

稍后如果您想要重新啟用UTF并激活所有規(guī)則，請(qǐng)輸入：

ufw enable

重置UFW

重置UFW將禁用UFW，并刪除所有活動(dòng)規(guī)則。 如果您想恢復(fù)所有更改并重新開(kāi)始，這很有幫助。

要重置UFW，只需輸入以下命令：

ufw reset

更多小知識(shí)，可聯(lián)系藍(lán)隊(duì)云一起探討。