Linux 中的防火墙 ufw 简介
作者:Sandra Henry-stocker 发布时间:2023-11-03 02:13:54
我们来研究下 Linux 上的 ufw
(简单防火墙),为你更改防火墙提供一些见解和命令。
ufw
(简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw
出乎意料的简单,这对新管理员来说是一个福音,否则他们可能需要投入大量时间来学习防火墙管理。
ufw
也有 GUI 客户端(例如 gufw),但是 ufw
命令通常在命令行上执行的。本文介绍了一些使用 ufw
的命令,并研究了它的工作方式。
首先,快速查看 ufw
配置的方法是查看其配置文件 —— /etc/default/ufw
。使用下面的命令可以查看其配置,使用 grep 来抑制了空行和注释(以 # 开头的行)的显示。
$ grep -v '^#\|^$' /etc/default/ufw
IPV6=yes
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_APPLICATION_POLICY="SKIP"
MANAGE_BUILTINS=no
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"
正如你所看到的,默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。
ufw
命令的基本语法如下所示,但是这个概要并不意味着你只需要输入 ufw
就行,而是一个告诉你需要哪些参数的快速提示。
ufw [--dry-run] [options] [rule syntax]
--dry-run 选项意味着 ufw
不会运行你指定的命令,但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集,因此你要做有好多行输出的准备。
要检查 ufw
的状态,请运行以下命令。注意,即使是这个命令也需要使用 sudo
或 root
账户。
$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW 192.168.0.0/24
9090 ALLOW Anywhere
9090 (v6) ALLOW Anywhere (v6)否则,你会看到以下内容:
$ ufw status
ERROR: You need to be root to run this script
加上 verbose 选项会提供一些其它细节:
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22 ALLOW IN 192.168.0.0/24
9090 ALLOW IN Anywhere
9090 (v6) ALLOW IN Anywhere (v6)
你可以使用以下命令轻松地通过端口号允许和拒绝连接:
$ sudo ufw allow 80 <== 允许 http 访问
$ sudo ufw deny 25 <== 拒绝 smtp 访问
你可以查看 /etc/services
文件来找到端口号和服务名称之间的联系。
$ grep 80/ /etc/services
http 80/tcp www # WorldWideWeb HTTP
socks 1080/tcp # socks proxy server
socks 1080/udp
http-alt 8080/tcp webcache # WWW caching service
http-alt 8080/udp
amanda 10080/tcp # amanda backup services
amanda 10080/udp
canna 5680/tcp # cannaserver
或者,你可以命令中直接使用服务的名称。
$ sudo ufw allow http
Rule added
Rule added (v6)
$ sudo ufw allow https
Rule added
Rule added (v6)
进行更改后,你应该再次检查状态来查看是否生效:
$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW 192.168.0.0/24
9090 ALLOW Anywhere
80/tcp ALLOW Anywhere <==
443/tcp ALLOW Anywhere <==
9090 (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6) <==
443/tcp (v6) ALLOW Anywhere (v6) <==
ufw 遵循的规则存储在 /etc/ufw
目录中。注意,你需要 root 用户访问权限才能查看这些文件,每个文件都包含大量规则。
$ ls -ltr /etc/ufw
total 48
-rw-r--r-- 1 root root 1391 Aug 15 2017 sysctl.conf
-rw-r----- 1 root root 1004 Aug 17 2017 after.rules
-rw-r----- 1 root root 915 Aug 17 2017 after6.rules
-rw-r----- 1 root root 1130 Jan 5 2018 before.init
-rw-r----- 1 root root 1126 Jan 5 2018 after.init
-rw-r----- 1 root root 2537 Mar 25 2019 before.rules
-rw-r----- 1 root root 6700 Mar 25 2019 before6.rules
drwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d
-rw-r--r-- 1 root root 313 Mar 18 17:30 ufw.conf
-rw-r----- 1 root root 1711 Mar 19 10:42 user.rules
-rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules
本文前面所作的更改,为 http 访问添加了端口 80 和为 https 访问添加了端口 443,在 user.rules
和 user6.rules
文件中看起来像这样:
# grep " 80 " user*.rules
user6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 in
user6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPT
user.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
user.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPT
You have new mail in /var/mail/root
# grep 443 user*.rules
user6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 in
user6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPT
user.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 in
user.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT
使用 ufw
,你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接:
$ sudo ufw deny from 208.176.0.50
Rule added
status 命令将显示更改:
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22 ALLOW IN 192.168.0.0/24
9090 ALLOW IN Anywhere
80/tcp ALLOW IN Anywhere
443/tcp ALLOW IN Anywhere
Anywhere DENY IN 208.176.0.50 <== new
9090 (v6) ALLOW IN Anywhere (v6)
80/tcp (v6) ALLOW IN Anywhere (v6)
443/tcp (v6) ALLOW IN Anywhere (v6)
总而言之,ufw 不仅容易配置,而且且容易理解。
来源:https://linux.cn/article-12079-1.html
猜你喜欢
- 世界上总有些事物值得大家去反复玩味,比如“美女”这码子事。古时候的《陌上桑》里写罗敷,只写“少年见罗敷,脱帽著鞘头……耕者忘其田,锄者忘其锄
- VMware虚拟机使用NAT模式上网,供大家参考,具体内容如下1、目的我在前一篇博客中分享了虚拟机中安装windows7系统的方法,那么在这
- 10月12日消息,据国外媒体报道,安全研究人员日前公布了谷歌Android移动平台的两处漏洞。开源计算机响应小组(oCert)称,这两处漏洞
- 说明:诸如bbs.phpwind.net 此类不应被提示外链的连接也提示外链打开:js/pw_lwd.js查找函数:checkUrl将整个函
- 网上流传了很多个版本的Google Adsense低价广告过滤清单,并且也有很多发布者就在使用这个名单。从技术角度上讲,过滤单价广告不能提高
- Windows 2000 Server是比较流行的服务器操作系统,如何安全地配置这个操作系统呢?本文试图从用户安全设置、密码安全设置、系统安
- 一、服务端1.用YUM源下载NFS相关服务 2.创造共享目录并在NFS相关配置文件写入共享目录 3.使用ex
- 融资15亿美元(仅次于google当年的17亿),市值257亿美元(当日涨幅192%,几乎等于“百度+腾讯”),市盈率309倍(百度200倍
- 这二个月,我观察了几百个博客网站,发现有许多博客并不十分了解这些规则,所以将写出一系列比较常见的错误,以让大家对这些条例有进一步的认识,从而
- 情况一:最后一次提交且未push执行以下命令:git commit --amendgit会打开$EDITOR编辑器,它会加载这次提交的日志,
- 新年的钟声在耳际回响,东方国度的人们最早引来了新年的曙光!2008年是收获的一年,中华儿女心系祖国,在党的正确领导下,一步一个脚印,努力拼搏
- 相信用Discuz论坛的朋友应该都知道,Discuz论坛对搜索引擎优化的还是比较到位的。Discuz6.0 - 7.0论坛都提供了此功能,登
- 很多企业局域网内都架设了邮件服务器,用于进行公文发送和工作交流。但使用专业的企业邮件系统软件需要大量的资金投入,这对于很多企业来说是无法承受
- 背景CVE-2021-21972 vmware vcenter的一个未授权的命令执行漏洞。该漏洞可以上传一个webshell至vcenter
- 生成动态库: 需要的目标文件得用-fPIC选项生成.而静态库所需的目标文件可以不用-fPIC选项.例://///// static.hvoi
- 搜索方便我们的生活,而实际上,它还在记录我们的生活。比如,在大年初五浏览谷歌“热榜”(rebang.google.cn),你会发现最热门的搜
- 今年的娱乐圈屡传喜讯,近日中国模特叶子金通过层层筛选最终斩获“2009环球皇后世界赛事中国皇后亚军”一奖,同时小编还从51wan寻找女一号组
- 不说话的站长租一间房子,拉一条网线,借钱买一台电脑,很多个人站长就这样开始了自己的站长生涯。站长是没有早晨的,当早市上人潮汹涌的时候,他们才
- 服务器不仅仅是企业网络设备的中枢,也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障,软件的或者硬件的。很多故障是
- WAP SEO和普通的SEO,也就是WEB SEO的目的都是为了在搜索引擎获得很好的排名,而WAP的页面要怎么优化呢?也就是说WAP SEO