UFW防火墙详解

简介

UFW 是一个简化了 iptables 防火墙配置的前端工具。它的设计目标是让配置防火墙变得更加简单，同时保持足够的灵活性以满足一般用户和管理员的需求。UFW 在底层仍然使用 iptables，但通过提供更简单的语法和默认配置，使得配置过程更加友好。

UFW工作原理

UFW 的核心原理是基于 iptables，即 Linux 内核中用于配置防火墙规则的工具。它通过定义规则集，来控制网络数据包的流动。规则集包括允许或拒绝特定源、目标、端口和协议的数据包。UFW 提供了简单的命令行接口，使用户能够轻松地添加、删除和管理这些规则。
用户友好性： ufw 的目标之一是提供用户友好的界面，使非专业用户也能够轻松地配置防火墙规则。它通过使用易于理解的语法来简化iptables的复杂性。
默认策略： ufw 具有默认的防火墙策略，允许所有出站流量，但拒绝所有入站流量。这意味着未经配置的情况下，所有传入连接都会被拒绝，而所有传出连接都会被允许。
应用程序配置： ufw 允许你通过应用程序名称或端口号配置规则，而无需直接操作iptables规则。这样，用户可以轻松地允许或阻止特定应用程序的网络访问。
简化规则管理： ufw 提供了一系列命令，使用户可以轻松地添加、删除、启用或禁用防火墙规则，而无需深入了解iptables的细节。

常用的ufw命令

安装ufw

sudo apt-get install ufw

启用/禁用ufw

sudo ufw enable
sudo ufw disable

查看防火墙状态：

sudo ufw status

原理：显示当前防火墙的状态和规则。
允许特定端口：

sudo ufw allow 22

原理：允许来自任何源的 TCP 端口 22 的连接。
允许特定协议和端口：

sudo ufw allow 80/tcp

原理：允许来自任何源的 TCP 端口 80 的连接。
允许特定IP地址访问特定端口：

sudo ufw allow from 192.168.1.2 to any port 3306

原理：允许来自 IP 地址 192.168.1.2 的连接访问 TCP 端口 3306。
拒绝特定端口：

sudo ufw deny 25

原理：拒绝来自任何源的 TCP 端口 25 的连接。
删除规则：

sudo ufw delete allow 22

原理：删除先前添加的允许 TCP 端口 22 的规则。
允许特定应用程序的流量：

sudo ufw allow OpenSSH

原理：允许 OpenSSH 的流量，UFW 会查找已知应用程序对应的端口并允许其流量。
允许指定网段的流量：

sudo ufw allow from 192.168.1.0/24

原理：允许来自 IP 地址段 192.168.1.0/24 的所有流量。
允许特定网段和端口的流量：

sudo ufw allow from 192.168.1.0/24 to any port 80

原理：允许来自 IP 地址段 192.168.1.0/24 的流量访问 TCP 端口 80。
限制连接次数：

sudo ufw limit 22

原理：对于 TCP 端口 22，限制连接的尝试次数，防止暴力破解。
允许所有本地流量：

sudo ufw allow in on lo

原理：允许所有本地回环接口的流量。
拒绝所有流入流量：

sudo ufw default deny incoming

原理：将默认的流入流量策略设置为拒绝。
允许所有流出流量：

sudo ufw default allow outgoing

原理：将默认的流出流量策略设置为允许。
查看规则编号：

sudo ufw status numbered

原理：显示带有编号的规则列表，以便更容易地删除或修改规则。
重置防火墙规则：

sudo ufw reset

原理：删除所有已配置的规则并将默认策略重置为拒绝所有。
查看支持的应用程序列表：

sudo ufw app list

原理： 显示系统上已知的应用程序列表，这些应用程序的规则可以通过应用程序名添加。
启用日志记录：

sudo ufw logging on

原理： 启用 UFW 的日志记录功能，将流量日志记录到系统日志中。
禁用日志记录：

sudo ufw logging off

原理： 禁用 UFW 的日志记录功能，停止将流量日志记录到系统日志中。
查看日志：

sudo ufw show raw

原理： 显示防火墙的原始日志信息。
启用对 IPv6 的支持：

sudo ufw ipv6 enable

原理： 启用对 IPv6 的支持，允许配置 IPv6 规则。
禁用对 IPv6 的支持：

sudo ufw ipv6 disable

原理： 禁用对 IPv6 的支持，停止处理 IPv6 规则。
查看帮助信息：

sudo ufw --help

原理： 显示 UFW 的命令行帮助信息。
查看版本信息：

sudo ufw version

原理： 显示 UFW 的版本信息。
允许所有流入流量，除了指定端口：

sudo ufw allow in on eth0 to any port 22

原理： 允许流入 eth0 接口的所有流量，但拒绝 TCP 端口 22 之外的所有流量。
拒绝特定应用程序的流量：

sudo ufw reject Apache

原理： 拒绝 Apache 应用程序的流量。
使用应用程序配置文件添加规则：

sudo ufw allow 'Nginx Full'

原理：使用应用程序配置文件添加 Nginx Full 模式的规则，包括 HTTP（80）和 HTTPS（443）端口。
查看活动的防火墙规则：

sudo ufw show added

原理：显示当前活动的防火墙规则。
在规则之前插入规则：

sudo ufw insert 1 allow 8080

原理：在规则列表的顶部插入一条允许端口 8080 的规则。