温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Linux防火墙ufw的简单介绍

发布时间:2021-09-04 21:23:31 来源:亿速云 阅读:126 作者:chen 栏目:系统运维

本篇内容介绍了“Linux防火墙ufw的简单介绍”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!


ufw简单防火墙)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单,这对新管理员来说是一个福音,否则他们可能需要投入大量时间来学习防火墙管理。

ufw 也有 GUI 客户端(例如 gufw),但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令,并研究了它的工作方式。

首先,快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置,使用 grep 来抑制了空行和注释(以 # 开头的行)的显示。

$ grep -v '^#\|^$' /etc/default/ufwIPV6=yesDEFAULT_INPUT_POLICY="DROP"DEFAULT_OUTPUT_POLICY="ACCEPT"DEFAULT_FORWARD_POLICY="DROP"DEFAULT_APPLICATION_POLICY="SKIP"MANAGE_BUILTINS=noIPT_SYSCTL=/etc/ufw/sysctl.confIPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

正如你所看到的,默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。

ufw 命令的基本语法如下所示,但是这个概要并不意味着你只需要输入 ufw 就行,而是一个告诉你需要哪些参数的快速提示。

ufw [--dry-run] [options] [rule syntax]

--dry-run 选项意味着 ufw 不会运行你指定的命令,但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集,因此你要做有好多行输出的准备。

要检查 ufw 的状态,请运行以下命令。注意,即使是这个命令也需要使用 sudo 或 root 账户。

$ sudo ufw statusStatus: active To                         Action      From--                         ------      ----22                         ALLOW       192.168.0.0/249090                       ALLOW       Anywhere9090 (v6)                  ALLOW       Anywhere (v6)

否则,你会看到以下内容:

$ ufw statusERROR: You need to be root to run this script

加上 verbose 选项会提供一些其它细节:

$ sudo ufw status verboseStatus: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skip To                         Action      From--                         ------      ----22                         ALLOW IN    192.168.0.0/249090                       ALLOW IN    Anywhere9090 (v6)                  ALLOW IN    Anywhere (v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接:

$ sudo ufw allow 80         <== 允许 http 访问$ sudo ufw deny 25              <== 拒绝 smtp 访问

你可以查看 /etc/services 文件来找到端口号和服务名称之间的联系。

$ grep 80/ /etc/serviceshttp            80/tcp          www             # WorldWideWeb HTTPsocks           1080/tcp                        # socks proxy serversocks           1080/udphttp-alt        8080/tcp        webcache        # WWW caching servicehttp-alt        8080/udpamanda          10080/tcp                       # amanda backup servicesamanda          10080/udpcanna           5680/tcp                        # cannaserver

或者,你可以命令中直接使用服务的名称。

$ sudo ufw allow httpRule addedRule added (v6)$ sudo ufw allow httpsRule addedRule added (v6)

进行更改后,你应该再次检查状态来查看是否生效:

$ sudo ufw statusStatus: active To                         Action      From--                         ------      ----22                         ALLOW       192.168.0.0/249090                       ALLOW       Anywhere80/tcp                     ALLOW       Anywhere         <==443/tcp                    ALLOW       Anywhere         <==9090 (v6)                  ALLOW       Anywhere (v6)80/tcp (v6)                ALLOW       Anywhere (v6)    <==443/tcp (v6)               ALLOW       Anywhere (v6)    <==

ufw 遵循的规则存储在 /etc/ufw 目录中。注意,你需要 root 用户访问权限才能查看这些文件,每个文件都包含大量规则。

$ ls -ltr /etc/ufwtotal 48-rw-r--r-- 1 root root 1391 Aug 15  2017 sysctl.conf-rw-r----- 1 root root 1004 Aug 17  2017 after.rules-rw-r----- 1 root root  915 Aug 17  2017 after6.rules-rw-r----- 1 root root 1130 Jan  5  2018 before.init-rw-r----- 1 root root 1126 Jan  5  2018 after.init-rw-r----- 1 root root 2537 Mar 25  2019 before.rules-rw-r----- 1 root root 6700 Mar 25  2019 before6.rulesdrwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d-rw-r--r-- 1 root root  313 Mar 18 17:30 ufw.conf-rw-r----- 1 root root 1711 Mar 19 10:42 user.rules-rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules

本文前面所作的更改,为 http 访问添加了端口 80 和为 https 访问添加了端口 443,在 user.rulesuser6.rules 文件中看起来像这样:

# grep " 80 " user*.rulesuser6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPTuser.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPTYou have new mail in /var/mail/root# grep 443 user*.rulesuser6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPTuser.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT

使用 ufw,你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接:

$ sudo ufw deny from 208.176.0.50Rule added

status 命令将显示更改:

$ sudo ufw status verboseStatus: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skip To                         Action      From--                         ------      ----22                         ALLOW IN    192.168.0.0/249090                       ALLOW IN    Anywhere80/tcp                     ALLOW IN    Anywhere443/tcp                    ALLOW IN    AnywhereAnywhere                   DENY IN     208.176.0.50             <== new9090 (v6)                  ALLOW IN    Anywhere (v6)80/tcp (v6)                ALLOW IN    Anywhere (v6)443/tcp (v6)               ALLOW IN    Anywhere (v6)

总而言之,ufw 不仅容易配置,而且且容易理解。

“Linux防火墙ufw的简单介绍”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注亿速云网站,小编将为大家输出更多高质量的实用文章!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI