如何在操作使用ufw设置防火墙

本文涉及的产品
云防火墙,500元 1000GB
简介: 如何在操作使用ufw设置防火墙

UFW(简单防火墙)是用于管理iptables防火墙规则的用户友好型前端。它的主要目标是使iptables的管理更容易。

在学习Linux的时候大家一般都会关心命令,Posix API和桌面等,很少会去了解防护墙。其实除了一些网络安全厂商提供的付费防火墙,Debian系的Linux发新版本省就自带了UFW防火墙。

安装UFW

在Debian中默认没有安装UFW,但是Ubuntu是默认安装了的,我们可以先安装一下:

sudo apt update
sudo apt install ufw

UFW工作状态

sudo ufw status verbose

终端输出结果:

这个说明防火墙是激活状态。

UFW默认策略

默认情况下,UFW阻止所有入站连接并允许所有出站连接。除非您专门打开端口,否则尝试访问您的服务器的任何人将无法连接,但服务器上运行的应用程序和服务将能够访问外界。

缺省策略在/etc/default/ufw文件中定义,可以使用sudo ufw default <policy> <chain>命令更改。

UFW配置

大多数应用程序附带一个描述服务的应用程序配置文件,并包含UFW设置。在软件包安装过程中,将在/etc/ufw/applications.d目录中自动创建配置文件。

sudo ufw app list

这个命令可以输出配置的应用:

要查找有关特定配置文件和包含的规则的更多信息,可以使用app info命令,后跟配置文件名称。例如,要获取有关Samba配置文件的信息,可以使用:

sudo ufw app info Samba

启用和关闭UFW

  • 启用UFW
sudo ufw enable
  • 关闭UFW
sudo ufw disable

端口操作

根据服务器上运行的应用程序,您需要打开运行服务的端口,,可以参考以下示例:

  • 开启http服务需要的80端口:
sudo ufw allow http
  • 可以使用端口号80代替http配置文件:
sudo ufw allow 80/tcp
  • 开启https服务需要端口:
sudo ufw allow https
  • 可以使用端口号443代替https配置文件:
sudo ufw allow 443/tcp
  • 开启tomcat默认使用的8080端口:
sudo ufw allow 8080/tcp
  • 除了单独开启服务及端口外,还可以通过命令以端口范围的方式开启端口。

例如,我们要允许8090到9090之间的端口都允许tcp/udp访问,我们可以通过以下命令解决。

sudo ufw allow 8090:9090/tcp
sudo ufw allow 8090:9090/udp
  • 允许特定的IP地址

要允许从特定IP地址访问所有端口,可以使用ufw allow from命令,后跟IP地址。命令如下:

sudo ufw allow from 115.127.62.61

当然也可以允许特定IP访问前提条件下,允许其访问特定端口,命令如下:

sudo ufw allow from 115.127.62.61 to any port 22
  • 允许子网

允许从IP地址的子网进行连接的命令与使用单个IP地址时的命令相同。唯一的区别是您需要指定网络掩码。例如,如果要允许访问从192.168.1.1到192.168.1.254的IP地址到端口3360(MySQL),则可以使用以下命令:

sudo ufw allow from 192.168.1.0/24 to any port 3306
  • 允许连接到特定的网络接口

要允许访问特定端口,假设仅将3360端口访问特定网络接口eth2,可以使用allow in on和网络接口名称:

sudo ufw allow in on eth2 to any port 3306

拒绝连接

所有传入连接的默认策略都设置为“拒绝”,这意味着除非你专门打开该连接,否则UFW将阻止所有传入连接。

假设您打开了端口80和443,并且服务器受到23.24.25.0/24网络的攻击。要拒绝来自23.24.25.0/24的所有连接,可以使用以下命令:

sudo ufw deny from 23.24.25.0/24
  • 如果只想拒绝从23.24.25.0/24访问端口80和443,请使用:
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443

编写拒绝规则与编写允许规则相同。您只需要将allow替换为deny即可。

重置UFW

sudo ufw reset

删除UFW规则

按照规则编号删除规则

  1. 查看规则编号
sudo ufw status numbered
  1. 删除规则
# sudo ufw delete (规则编号)
sudo ufw delete 3

开放SSH连接

将UFW配置为接收SSH连接,可以运行:

sudo ufw allow OpenSSH
  • 如果你的SSH端口不是22,假设是100,则需要手动放心端口:
sudo ufw allow 100/tcp


相关文章
|
网络协议 Linux 网络安全
Centos7 防火墙配置+端口设置
Centos7 防火墙配置+端口设置
279 0
Centos7 防火墙配置+端口设置
|
1月前
|
网络协议 Ubuntu 网络安全
|
1月前
|
开发框架 缓存 Ubuntu
dotnet开发框架+ubuntu防火墙命令+win11设置自动登录+阿里云短信发送限制
dotnet开发框架+ubuntu防火墙命令+win11设置自动登录+阿里云短信发送限制
37 2
|
1月前
|
Ubuntu 网络协议 网络安全
Ubuntu 防火墙UFW使用方式
Ubuntu 防火墙UFW使用方式
62 0
|
3月前
|
Linux 网络安全
在Linux中,如何设置防火墙规则?
在Linux中,如何设置防火墙规则?
|
3月前
|
安全 网络安全 数据处理
防火墙设置难倒你?这两种组网模式轻松解决网络安全难题!
【8月更文挑战第23天】在网络安全日益重要的今天,防火墙作为关键防护设备扮演着重要角色。本文重点分析两种核心组网模式:三层路由网关模式与二层透明网桥模式。前者通过IP层处理实现内外网隔离及丰富的策略配置,增强安全性;后者以MAC地址转发,部署简便,不影响现有网络结构,适合服务不可中断的情况。通过企业升级安全防护的实际案例,展示了不同模式的应用场景及优势,并提供了三层路由网关模式的配置示例。正确选择和配置防火墙组网模式对于提高网络安全性和保证业务连续性至关重要。
77 0
|
6月前
|
监控 网络协议 安全
【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
【4月更文挑战第30天】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题。解决步骤包括检查网络配置、DNS设置、网关路由、防火墙规则,以及联系ISP。预防措施包括定期备份配置、更新固件、监控网络性能和实施网络安全策略。通过排查和维护,可确保网络稳定和安全。
1196 1
|
6月前
|
运维 程序员 Linux
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长
|
安全 Linux 网络安全
百度搜索:蓝易云【服务器安全设置Centos7 防火墙firewall与iptables】
CentOS 7使用的默认防火墙是firewall,它是一种基于Netfilter的用户空间工具,用于管理Linux内核中的iptables规则。为了加强服务器的安全性,可以通过配置CentOS 7防火墙和iptables规则来保护服务器。
138 0
|
6月前
|
网络协议 Shell Linux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
92 2