Ubuntu 14.04系統上使用UFW設置防火墻教程
發(fā)布時(shí)間:2022-06-23 10:26
來(lái)源:資源部落
閱讀:67
作者:資源部落
欄目: 經(jīng)驗分享
歡迎投稿:712375056
(Firewall)�����,也稱(chēng)防護墻��。它是一種位于內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )之間的網(wǎng)絡(luò )安全 數據
下面一起來(lái)學(xué)習如何在 14.04上使用的方法教程����。
準備
在開(kāi)始使用本教程之前����,您應該有一個(gè)單獨的非root超級用戶(hù)帳戶(hù) – 在Ubuntu上設置了sudo權限的用戶(hù)���。您可以通過(guò)在Linux系統下給非root用戶(hù)添加sudo權限了解如何執行此操作����。
UFW默認安裝在Ubuntu上�����。如果由于某種原因已卸載它��,您可以使用apt-get命令安裝它:
sudo apt-get install ufw將與UFW配合使用
如果您的Ubuntu服務(wù)器
sudo nano /etc/default/ufw然后確?��!癐PV6”的值為“yes”��。它應該如下所示:
…
IPV6=yes
…保存并退出��。點(diǎn)擊Ctrl-X退出文件���,然后Y保存您所做的更改��,然后ENTER確認文件名����。
啟用UFW后�����,它將配置為同時(shí)寫(xiě)入IPv4和IPv6防火墻規則�����。
本教程是以IPv4編寫(xiě)的����,但只要啟用它就可以正常使用IPv6����。
檢查UFW狀態(tài)和規則
您可以隨時(shí)使用以下命令檢查UFW的狀態(tài):
sudo ufw status verbose默認情況下�����,UFW已禁用���,因此您應該看到如下內容:
Status: inactive如果UFW處于活動(dòng)狀態(tài)����,則輸出將表明它處于活動(dòng)狀態(tài)����,并且它將列出所有已設置的規則����。例如����,如果防火墻設置為允許來(lái)自任何地方的(端口22)連接���,則輸出可能如下所示:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
?
To Action From
-- ------ ----
22/tcp ALLOW IN Anywhere因此�����,如果您需要檢查UFW如何配置防火墻�,請使用status命令�。
在啟用UFW之前�,我們需要確保將防火墻配置為允許您通過(guò)SSH進(jìn)行連接����。讓我們從設置默認策略開(kāi)始�����。
設置默認策略
如果您剛剛開(kāi)始使用防火墻�����,則要定義的第一個(gè)規則是您的默認策略�。這些規則控制如何處理未明確匹配任何其他規則的流量����。默認情況下�,UFW設置為拒絕所有傳入連接并允許所有傳出連接�����。這意味著(zhù)任何試圖訪(fǎng)問(wèn)您的的人都無(wú)法連接����,而服務(wù)器中的任何應用程序都可以訪(fǎng)問(wèn)外部世界�。
讓我們將您的UFW規則設置回默認值����,以便我們確保您能夠按照本教程進(jìn)行操作��。要設置UFW使用的默認值�,請使用以下命令:
sudo ufw default deny incoming
sudo ufw default allow outgoing您可能已經(jīng)猜到�,這些命令將默認值設置為拒絕傳入并允許傳出連接��。這些防火墻默認值本身可能足以滿(mǎn)足個(gè)人計算機的要求�����,但服務(wù)器通常需要響應來(lái)自外部用戶(hù)的傳入請求�����。我們接下來(lái)會(huì )調查一下�。
允許SSH連接
如果我們現在啟用了我們的UFW防火墻����,它將拒絕所有傳入的連接��。這意味著(zhù)我們需要創(chuàng )建明確允許合法傳入連接的規則 – 例如SSH或連接 – 如果我們希望服務(wù)器響應這些類(lèi)型的請求���。如果您使用的是云服務(wù)器
要將為允許傳入SSH連接�,可以使用此UFW命令:
sudo ufw allow ssh這將創(chuàng )建防火墻規則���,允許端口22上的所有連接�,這是SSH守護程序偵聽(tīng)的端口���。UFW知道什么是“ssh”�����,以及一堆其他服務(wù)名稱(chēng)����,意味著(zhù)因為它被列為在/etc/services文件中使用端口22的服務(wù)��。
我們實(shí)際上可以通過(guò)指定端口而不是服務(wù)名來(lái)編寫(xiě)等效規則����。例如���,此命令與上面的命令相同:
sudo ufw allow 22如果將SSH守護程序配置為使用其他端口�,則必須指定相應的端口����。例如�����,如果SSH服務(wù)器正在偵聽(tīng)端口2222���,則可以使用此命令允許該端口上的連接:
sudo ufw allow 2222現在您的防火墻已配置為允許傳入SSH連接����,我們可以啟用它����。
啟用UFW
要啟用UFW��,請使用以下命令:
sudo ufw enable您將收到一條警告�,指出“命令可能會(huì )破壞現有的ssh連接”����。我們已經(jīng)設置了允許SSH連接的防火墻規則���,因此可以繼續使用��?���;貜吞崾緔�。
防火墻現在處于活動(dòng)狀態(tài)�����。隨意運行 sudo ufw status verbose
允許其他連接
現在����,您應該允許服務(wù)器需要響應的所有其他連接�����。您應該允許的連接取決于您的特定需求�����。幸運的是�����,您已經(jīng)知道如何編寫(xiě)允許基于服務(wù)名稱(chēng)或端口的連接的規則 – 我們已經(jīng)在端口22上為SSH做了這個(gè)���。
我們將展示您可能需要允許的一些非常常見(jiàn)的服務(wù)示例���。如果您有其他任何要允許所有傳入連接的服務(wù)����,請遵循以下格式���。
HTTP端口80
使用此命令可以允許HTTP連接��,即未加密的Web服務(wù)器
sudo ufw allow http如果您更愿意使用端口號80��,請使用以下命令:
sudo ufw allow 80端口443
可以使用以下命令允許HTTPS連接(加密Web服務(wù)器使用的連接):
sudo ufw allow https如果您更愿意使用端口號443���,請使用以下命令:
sudo ufw allow 443端口21
FTP連接�,用于未加密的文件傳輸(您可能不應該使用它)���,可以使用此命令:
sudo ufw allow ftp如果您更愿意使用端口號21���,請使用以下命令:
sudo ufw allow 21/tcp允許特定端口范圍
您可以使用UFW指定端口范圍�。某些應用程序使用多個(gè)端口�,而不是單個(gè)端口�。
例如�����,要允許使用端口6000-6007的X11連接��,請使用以下命令:
sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp使用UFW指定端口范圍時(shí)���,必須指定規則應適用的協(xié)議(tcp或udp)�����。我們之前沒(méi)有提到這一點(diǎn)��,因為沒(méi)有指定協(xié)議只允許兩種協(xié)議�,這在大多數情況下都可以�����。
允許特定IP地址
使用UFW時(shí)�,您還可以指定IP地址���。例如�����,如果要允許來(lái)自特定IP地址的連接�,例如工作或家庭IP地址15.15.15.51�,則需要指定“from”����,然后指定IP地址:
sudo ufw allow from 15.15.15.51您還可以通過(guò)添加“到任意端口”后跟端口號來(lái)指定允許IP地址連接的特定端口����。例如�����,如果要允許15.15.15.51連接到端口22(SSH)����,請使用以下命令:
sudo ufw allow from 15.15.15.51 to any port 22允許子網(wǎng)
如果要允許IP地址子網(wǎng)����,可以使用CIDR表示法指定網(wǎng)絡(luò )掩碼���。例如�,如果你想允許從15.15.15.1到15.15.15.254的所有IP地址范圍��,你可以使用這個(gè)命令:
sudo ufw allow from 15.15.15.0/24同樣���,您也可以指定15.15.15.0/24允許子網(wǎng)連接的目標端口���。同樣�,我們將使用端口22(SSH)作為示例:
sudo ufw allow from 15.15.15.0/24 to any port 22允許連接到特定網(wǎng)絡(luò )接口
您可能希望在繼續之前查找網(wǎng)絡(luò )接口���。為此�,請使用以下命令:
ip addr輸出如下:
2: eth0: mtu 1500 qdisc pfifo_fast state
…
3: eth1: mtu 1500 qdisc noop state DOWN group default
…網(wǎng)絡(luò )接口名稱(chēng)通常被命名為“eth0”或“eth1”�����。
因此�����,如果您的服務(wù)器調用了公共網(wǎng)絡(luò )接口eth0�,則可以使用以下命令允許HTTP流量(端口80):
sudo ufw allow in on eth0 to any port 80這樣做將允許您的服務(wù)器從公共Internet接收HTTP請求����。
或者��,如果您希望服務(wù)器(端口3306)偵聽(tīng)專(zhuān)用網(wǎng)絡(luò )接口上的連接eth1��,例如�����,您可以使用此命令:
sudo ufw allow in on eth1 to any port 3306這將允許專(zhuān)用網(wǎng)絡(luò )上的其他服務(wù)器連接到MySQL數據庫
否認連接
如果尚未更改傳入連接的默認策略��,則UFW配置為拒絕所有傳入連接�����。通常���,這會(huì )通過(guò)要求您創(chuàng )建明確允許特定端口和IP地址的規則來(lái)簡(jiǎn)化創(chuàng )建安全防火墻策略的過(guò)程�����。但是�����,有時(shí)您會(huì )希望根據源IP地址或子網(wǎng)拒絕特定連接�,可能是因為您知道您的服務(wù)器正在受到攻擊�。
此外�,如果要將默認傳入策略更改為允許(出于安全考慮而不建議這樣做)����,則需要為不希望允許連接的任何服務(wù)或IP地址創(chuàng )建拒絕規則�。
要編寫(xiě)拒絕規則��,您可以使用我們上面描述的命令��,除非您需要將“allow”替換為“deny”����。
例如�����,要拒絕HTTP連接����,您可以使用以下命令:
sudo ufw deny http或者�,如果要拒絕來(lái)自15.15.15.51您的所有連接�����,可以使用以下命令:
sudo ufw deny from 15.15.15.51如果您在編寫(xiě)任何其他拒絕規則時(shí)需要幫助�����,請查看先前的允許規則并相應地更新它們����。
現在讓我們來(lái)看看如何刪除規則��。
刪除規則
了解如何刪除防火墻規則與了解如何創(chuàng )建防火墻規則同樣重要�。有兩種不同的方式可以指定要刪除的規則:按規則編號或實(shí)際規則(類(lèi)似于創(chuàng )建規則時(shí)指定的規則)���。我們將從規則編號方法刪除開(kāi)始����,因為與寫(xiě)入要刪除的實(shí)際規則相比�,如果您是UFW新手���,則更容易���。
按規則編號
如果您使用規則編號刪除防火墻規則����,那么您要做的第一件事就是獲取防火墻規則列表����。UFW status命令可以選擇顯示每個(gè)規則旁邊的數字�,如下所示:
sudo ufw status numbered
Numbered Output:Status: active
?
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 15.15.15.0/24
[ 2] 80 ALLOW IN Anywhere如果我們決定要刪除允許端口80(HTTP)連接的規則2�,我們可以在UFW刪除命令中指定它�����,如下所示:
sudo ufw delete 2這將顯示確認提示�,然后刪除規則2���,允許HTTP連接�。請注意����,如果啟用了IPv6�����,則還需要刪除相應的IPv6規則���。
按實(shí)際規則
規則編號的替代方法是指定要刪除的實(shí)際規則���。例如��,如果要刪除“allow http”規則����,可以這樣寫(xiě):
sudo ufw delete allow http您還可以通過(guò)“允許80”而不是服務(wù)名稱(chēng)來(lái)指定規則:
sudo ufw delete allow 80此方法將刪除IPv4和IPv6規則(如果存在)�。
如何禁用UFW(可選)
如果您因任何原因決定不想使用UFW��,可以使用以下命令禁用它:
sudo ufw disable您使用UFW創(chuàng )建的任何規則將不再處于活動(dòng)狀態(tài)����。如果以后需要激活�����,可以隨時(shí)運行sudo ufw enable��。
重置UFW規則(可選)
如果您已經(jīng)配置了UFW規則但是您決定要重新開(kāi)始�����,則可以使用reset命令:
sudo ufw reset這將禁用UFW并刪除先前定義的任何規則�����。請注意�,如果您在任何時(shí)候修改了默認策略����,默認策略都不會(huì )更改為原始設置�����。這應該會(huì )讓你重新開(kāi)始使用UFW��。
結論
您的防火墻現在應配置為允許(至少)SSH連接�����。確保允許服務(wù)器的任何其他傳入連接����,同時(shí)限制任何不必要的連接��,以使您的服務(wù)器功能安全�����。
來(lái)源鏈接:https://www.zyhot.com/article/11399.html
本站聲明:網(wǎng)站內容來(lái)源于網(wǎng)絡(luò ),如有侵權,請聯(lián)系我們,我們將及時(shí)處理���。
