Ubuntu防火墙ufw的使用

一、不使用IPv6

打开UFW配置。
sudo vim /etc/default/ufw
然后确保IPV6值为no 。
IPV6=no
保存并关闭文件。现在,当启用UFW时,将配置不在写入IPv6防火墙规则。但是,在启用UFW之前,确保防火墙配置为允许您通过SSH连接。

二、设置默认策略

首先要定义的规则是默认策略。这些规则控制如何处理未明确匹配任何其他规则的流量。默认情况下,UFW设置为拒绝所有传入连接,并允许所有传出连接。这意味着任何人尝试到达服务器将无法连接,而服务器内的任何应用程序将能够到达外部世界。
让我们将的UFW规则设置为默认值。要设置UFW使用的默认值,请使用以下命令:

sudo ufw default deny incoming
sudo ufw default allow outgoing

这些命令设置默认值为拒绝传入和允许传出连接。单独的这些防火墙默认值可能足以用于个人计算机,但是服务器通常需要响应来自外部用户的传入请求。

三、允许SSH连接

如果现在启用了UFW防火墙,它将拒绝所有传入的连接。这意味着,如果希望服务器响应这些类型的请求,我们将需要创建明确允许合法传入连接(例如SSH或HTTP连接)的规则。如果需要远程连接服务器,则可能需要允许传入的SSH连接,以便连接和管理服务器。
要将服务器配置为允许传入SSH连接,可以使用以下命令:
sudo ufw allow ssh
这将创建防火墙规则,允许端口22上的所有连接,这是默认情况下SSH守护程序监听的端口。 UFW知道什么SSH和一些其他服务名意味着,因为它们被列为/etc/services文件中的/etc/services 。
但是,我们实际上可以通过指定端口而不是服务名称来编写等效规则。例如,此命令的工作原理与上述相同:
sudo ufw allow 22
如果将SSH守护程序配置为使用其他端口,则必须指定适当的端口。例如,如果SSH服务器正在监听端口2222 ,则可以使用此命令允许该端口上的连接:
sudo ufw allow 2222
现在防火墙已配置为允许传入SSH连接,我们可以启用它。

四、启用UFW

要启用UFW,请使用以下命令:
sudo ufw enable
将收到一条警告,指出该命令可能会中断现有的SSH连接。我们已经设置了允许SSH连接的防火墙规则,因此应该继续。用y响应提示。
防火墙现在处于活动状态。随意运行sudo ufw status verbose命令以查看设置的规则。

五、允许其他连接

  • 特定端口范围 可以使用UFW指定端口范围。一些应用程序使用多个端口,而不是单个端口。 例如,要允许使用端口6000 – 6007,X11连接,请使用以下命令:
    sudo ufw allow 6000:6007/tcp 
    sudo ufw allow	6000:6007/udp
    
    当使用UFW指定端口范围时,必须指定规则应用于的协议( tcp或udp )
  • 特定IP地址
    使用UFW时,还可以指定IP地址。例如,如果要允许来自特定IP地址为15.15.15.51,则需要指定from ,然后指定IP地址:
    sudo ufw allow from 15.15.15.51
    还可以通过添加to any port后面跟端口号to any port指定允许IP地址连接的特定端口。 例如,如果要允许15.15.15.51连接到端口22(SSH),请使用以下命令:
    sudo ufw allow from 15.15.15.51 to any port 22
  • 子网
    如果要允许IP地址的子网,可以使用CIDR表示法来指定网络掩码。例如,如果要允许所有的IP地址范围从15.15.15.1到15.15.15.254您可以使用此命令:
    sudo ufw allow from 15.15.15.0/24
    同样,也可以指定允许子网15.15.15.0/24连接到的目标端口。 再次,我们将使用端口22 (SSH)作为示例:
    sudo ufw allow from 15.15.15.0/24 to any port 22
  • 连接到特定的网络接口
    如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定“allow in on”,然后指定网络接口的名称来实现,它们通常命名为像eth0或eth1 。
    因此,如果服务器有一个名为eth0的网络接口,可以使用此命令允许HTTP流量(端口80 ):
    sudo ufw allow in on eth0 to any port 80
    这样做将允许服务器从公共Internet接收HTTP请求。
    或者,如果希望MySQL数据库服务器(端口3306 )监听专用网络接口eth1上的eth1 ,例如,可以使用以下命令:
    sudo ufw allow in on eth1 to any port 3306
    这将允许专用网络上的其他服务器连接到MySQL数据库。

六、拒绝连接

如果尚未更改传入连接的默认策略,则UFW将配置为拒绝所有传入连接。通常,通过要求创建明确允许特定端口和IP地址通过的规则,这简化了创建安全防火墙策略的过程。
但是,有时会希望根据源IP地址或子网拒绝特定连接,也许是因为知道服务器正在从那里受到攻击。此外,如果希望将默认传入策略更改为允许 (这对于安全性不推荐),需要为不希望允许连接的任何服务或IP地址创建拒绝规则。
要编写拒绝规则,可以使用上述命令,将allow替换为deny 。
例如,要拒绝HTTP连接,可以使用以下命令:
sudo ufw deny http
或者如果想拒绝15.15.15.51的所有连接,可以使用这个命令:
sudo ufw deny from 15.15.15.51

七、删除规则

了解如何删除防火墙规则与知道如何创建它们同样重要。有两种不同的方法指定要删除的规则:按规则编号或实际规则(类似于创建规则时指定的规则)。我们将从规则编号方法开始,因为如果你是UFW的新手,相比编写要删除的实际规则更容易。
按规则编号
如果使用规则编号删除防火墙规则,您首先要做的是获取防火墙规则列表。 UFW状态命令有一个选项,可以显示每个规则旁边的数字,如下所示:
sudo ufw status numbered

如果我们决定删除规则1,允许端口22(ssh)连接,我们可以在UFW删除命令中指定它,如下所示:
sudo ufw delete 1
这将显示确认提示,然后删除规则1,它允许ssh连接。
按实际规则
规则编号的替代方法是指定要删除的实际规则。例如,如果要删除allow http规则,您可以这样写:
sudo ufw delete allow http
您还可以通过allow 80指定规则,而不是按服务名称指定规则:
sudo ufw delete allow 80
此方法将删除IPv4规则(如果存在)。
八、ufw命令示例

sudo ufw enable		#启动ufw     
sudo ufw disable	#关闭ufw
sudo ufw reset 		#重置ufw,将禁用ufw并删除以前定义的任何规则
sudo ufw status 	#查看ufw状态和已设置防火墙的所有规则
sudo ufw delete allow 80 	# 禁止外部访问80端口
sudo ufw allow http 	# 允许外部访问 本机的http服务
sudo ufw allow 25/tcp   #允许通过使用tcp协议来使用25端口
sudo ufw allow in http  	# 允许http应用数据进入本机
sudo ufw reject out smtp 		# 拒绝并告知:拒绝从本机发出smtp应用数据
sudo ufw allow in on eth0 from 192.168.0.0/16	#允许来自192.168.0.0-192.168.255.255的数据通过eth0网卡进入主机
sudo ufw allow out on eth1 to 10.0.0.0/8   	#允许指向10.0.0.0-10.255.255.255的数据通过eth1网卡从本机发出
sudo ufw delete 3  		#删除第三条规则
sudo ufw logging on|off  LEVEL  #系统日志保存于/var/log/ufw.log。LEVEL指定不同的级别 ,默认级别是‘低’

你可能感兴趣的:(linux)