Linux防火墙ufw简介

系统 Linux
我们来研究下 Linux 上的 ufw(简单防火墙),为你更改防火墙提供一些见解和命令。ufw(简单防火墙)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。

[[321284]]

我们来研究下 Linux 上的 ufw(简单防火墙),为你更改防火墙提供一些见解和命令。

ufw简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单,这对新管理员来说是一个福音,否则他们可能需要投入大量时间来学习防火墙管理。

ufw 也有 GUI 客户端(例如 gufw),但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令,并研究了它的工作方式。

首先,快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置,使用 grep 来抑制了空行和注释(以 # 开头的行)的显示。

  1. $ grep -v '^#\|^$' /etc/default/ufw
  2. IPV6=yes
  3. DEFAULT_INPUT_POLICY="DROP"
  4. DEFAULT_OUTPUT_POLICY="ACCEPT"
  5. DEFAULT_FORWARD_POLICY="DROP"
  6. DEFAULT_APPLICATION_POLICY="SKIP"
  7. MANAGE_BUILTINS=no
  8. IPT_SYSCTL=/etc/ufw/sysctl.conf
  9. IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

正如你所看到的,默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。

ufw 命令的基本语法如下所示,但是这个概要并不意味着你只需要输入 ufw 就行,而是一个告诉你需要哪些参数的快速提示。

  1. ufw [--dry-run] [options] [rule syntax]

--dry-run 选项意味着 ufw 不会运行你指定的命令,但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集,因此你要做有好多行输出的准备。

要检查 ufw 的状态,请运行以下命令。注意,即使是这个命令也需要使用 sudo 或 root 账户。

  1. $ sudo ufw status
  2. Status: active
  3.  
  4. To Action From
  5. -- ------ ----
  6. 22 ALLOW 192.168.0.0/24
  7. 9090 ALLOW Anywhere
  8. 9090 (v6) ALLOW Anywhere (v6)

否则,你会看到以下内容:

  1. $ ufw status
  2. ERROR: You need to be root to run this script

加上 verbose 选项会提供一些其它细节:

  1. $ sudo ufw status verbose
  2. Status: active
  3. Logging: on (low)
  4. Default: deny (incoming), allow (outgoing), disabled (routed)
  5. New profiles: skip
  6.  
  7. To Action From
  8. -- ------ ----
  9. 22 ALLOW IN 192.168.0.0/24
  10. 9090 ALLOW IN Anywhere
  11. 9090 (v6) ALLOW IN Anywhere (v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接:

  1. $ sudo ufw allow 80 <== 允许 http 访问
  2. $ sudo ufw deny 25 <== 拒绝 smtp 访问

你可以查看 /etc/services 文件来找到端口号和服务名称之间的联系。

  1. $ grep 80/ /etc/services
  2. http 80/tcp www # WorldWideWeb HTTP
  3. socks 1080/tcp # socks proxy server
  4. socks 1080/udp
  5. http-alt 8080/tcp webcache # WWW caching service
  6. http-alt 8080/udp
  7. amanda 10080/tcp # amanda backup services
  8. amanda 10080/udp
  9. canna 5680/tcp # cannaserver

或者,你可以命令中直接使用服务的名称。

  1. $ sudo ufw allow http
  2. Rule added
  3. Rule added (v6)
  4. $ sudo ufw allow https
  5. Rule added
  6. Rule added (v6)

进行更改后,你应该再次检查状态来查看是否生效:

  1. $ sudo ufw status
  2. Status: active
  3.  
  4. To Action From
  5. -- ------ ----
  6. 22 ALLOW 192.168.0.0/24
  7. 9090 ALLOW Anywhere
  8. 80/tcp ALLOW Anywhere <==
  9. 443/tcp ALLOW Anywhere <==
  10. 9090 (v6) ALLOW Anywhere (v6)
  11. 80/tcp (v6) ALLOW Anywhere (v6) <==
  12. 443/tcp (v6) ALLOW Anywhere (v6) <==

ufw 遵循的规则存储在 /etc/ufw 目录中。注意,你需要 root 用户访问权限才能查看这些文件,每个文件都包含大量规则。

  1. $ ls -ltr /etc/ufw
  2. total 48
  3. -rw-r--r-- 1 root root 1391 Aug 15 2017 sysctl.conf
  4. -rw-r----- 1 root root 1004 Aug 17 2017 after.rules
  5. -rw-r----- 1 root root 915 Aug 17 2017 after6.rules
  6. -rw-r----- 1 root root 1130 Jan 5 2018 before.init
  7. -rw-r----- 1 root root 1126 Jan 5 2018 after.init
  8. -rw-r----- 1 root root 2537 Mar 25 2019 before.rules
  9. -rw-r----- 1 root root 6700 Mar 25 2019 before6.rules
  10. drwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d
  11. -rw-r--r-- 1 root root 313 Mar 18 17:30 ufw.conf
  12. -rw-r----- 1 root root 1711 Mar 19 10:42 user.rules
  13. -rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules

本文前面所作的更改,为 http 访问添加了端口 80 和为 https 访问添加了端口 443,在 user.rulesuser6.rules 文件中看起来像这样:

  1. # grep " 80 " user*.rules
  2. user6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 in
  3. user6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPT
  4. user.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
  5. user.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPT
  6. You have new mail in /var/mail/root
  7. # grep 443 user*.rules
  8. user6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 in
  9. user6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPT
  10. user.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 in
  11. user.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT

使用 ufw,你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接:

  1. $ sudo ufw deny from 208.176.0.50
  2. Rule added

status 命令将显示更改:

  1. $ sudo ufw status verbose
  2. Status: active
  3. Logging: on (low)
  4. Default: deny (incoming), allow (outgoing), disabled (routed)
  5. New profiles: skip
  6.  
  7. To Action From
  8. -- ------ ----
  9. 22 ALLOW IN 192.168.0.0/24
  10. 9090 ALLOW IN Anywhere
  11. 80/tcp ALLOW IN Anywhere
  12. 443/tcp ALLOW IN Anywhere
  13. Anywhere DENY IN 208.176.0.50 <== new
  14. 9090 (v6) ALLOW IN Anywhere (v6)
  15. 80/tcp (v6) ALLOW IN Anywhere (v6)
  16. 443/tcp (v6) ALLOW IN Anywhere (v6)

总而言之,ufw 不仅容易配置,而且且容易理解。 

责任编辑:庞桂玉 来源: Linux中国
相关推荐

2017-01-05 15:15:59

UFWUbuntu配置防火墙

2016-01-24 23:12:00

UFW防火墙拦截IP地址

2009-02-22 09:30:24

2011-03-15 16:35:27

2011-03-17 16:00:57

2009-09-28 10:06:09

Linux防火墙Linux规则

2009-12-23 17:37:09

Linux防火墙

2009-12-02 18:54:28

2010-03-08 09:09:48

2011-03-15 17:18:45

2009-07-03 11:14:57

2011-03-17 10:58:55

Linux防火墙Iptables入门

2020-04-20 13:27:49

inux防火墙

2010-12-21 18:04:26

2010-09-14 13:08:52

2010-12-08 09:29:27

下一代防火墙

2010-01-07 16:02:41

2010-01-07 14:12:11

Linux防火墙

2011-03-15 15:47:26

LinuxIptables防火墙

2012-07-10 10:39:48

Linux防火墙
点赞
收藏

51CTO技术栈公众号