Linux 中的防火墙 ufw 简介
我们来研究下Linux上的ufw(简单防火墙),为你更改防火墙提供一些见解和命令。
ufw(简单防火墙UncomplicatedFireWall)真正地简化了iptables,它从出现的这几年,已经成为Ubuntu和Debian等系统上的默认防火墙。而且ufw出乎意料的简单,这对新管理员来说是一个福音,否则他们可能需要投入大量时间来学习防火墙管理。
ufw也有GUI客户端(例如gufw),但是ufw命令通常在命令行上执行的。本文介绍了一些使用ufw的命令,并研究了它的工作方式。
首先,快速查看ufw配置的方法是查看其配置文件——/etc/default/ufw。使用下面的命令可以查看其配置,使用grep来抑制了空行和注释(以#开头的行)的显示。
$grep-v'^#\|^$'/etc/default/ufw IPV6=yes DEFAULT_INPUT_POLICY="DROP" DEFAULT_OUTPUT_POLICY="ACCEPT" DEFAULT_FORWARD_POLICY="DROP" DEFAULT_APPLICATION_POLICY="SKIP" MANAGE_BUILTINS=no IPT_SYSCTL=/etc/ufw/sysctl.conf IPT_MODULES="nf_conntrack_ftpnf_nat_ftpnf_conntrack_netbios_ns"
正如你所看到的,默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。
ufw命令的基本语法如下所示,但是这个概要并不意味着你只需要输入ufw就行,而是一个告诉你需要哪些参数的快速提示。
ufw[--dry-run][options][rulesyntax]
--dry-run选项意味着ufw不会运行你指定的命令,但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集,因此你要做有好多行输出的准备。
要检查ufw的状态,请运行以下命令。注意,即使是这个命令也需要使用sudo或root账户。
$sudoufwstatus Status:active ToActionFrom ------------ 22ALLOW192.168.0.0/24 9090ALLOWAnywhere 9090(v6)ALLOWAnywhere(v6)
否则,你会看到以下内容:
$ufwstatus
ERROR:Youneedtoberoottorunthisscript
加上verbose选项会提供一些其它细节:
$sudoufwstatusverbose Status:active Logging:on(low) Default:deny(incoming),allow(outgoing),disabled(routed) Newprofiles:skip ToActionFrom ------------ 22ALLOWIN192.168.0.0/24 9090ALLOWINAnywhere 9090(v6)ALLOWINAnywhere(v6)
你可以使用以下命令轻松地通过端口号允许和拒绝连接:
$sudoufwallow80<==允许http访问 $sudoufwdeny25<==拒绝smtp访问
你可以查看/etc/services文件来找到端口号和服务名称之间的联系。
$grep80//etc/services http80/tcpwww#WorldWideWebHTTP socks1080/tcp#socksproxyserver socks1080/udp http-alt8080/tcpwebcache#WWWcachingservice http-alt8080/udp amanda10080/tcp#amandabackupservices amanda10080/udp canna5680/tcp#cannaserver
或者,你可以命令中直接使用服务的名称。
$sudoufwallowhttp Ruleadded Ruleadded(v6) $sudoufwallowhttps Ruleadded Ruleadded(v6)
进行更改后,你应该再次检查状态来查看是否生效:
$sudoufwstatus Status:active ToActionFrom ------------ 22ALLOW192.168.0.0/24 9090ALLOWAnywhere 80/tcpALLOWAnywhere<== 443/tcpALLOWAnywhere<== 9090(v6)ALLOWAnywhere(v6) 80/tcp(v6)ALLOWAnywhere(v6)<== 443/tcp(v6)ALLOWAnywhere(v6)<==
ufw遵循的规则存储在/etc/ufw目录中。注意,你需要root用户访问权限才能查看这些文件,每个文件都包含大量规则。
$ls-ltr/etc/ufw total48 -rw-r--r--1rootroot1391Aug152017sysctl.conf -rw-r-----1rootroot1004Aug172017after.rules -rw-r-----1rootroot915Aug172017after6.rules -rw-r-----1rootroot1130Jan52018before.init -rw-r-----1rootroot1126Jan52018after.init -rw-r-----1rootroot2537Mar252019before.rules -rw-r-----1rootroot6700Mar252019before6.rules drwxr-xr-x3rootroot4096Nov1208:21applications.d -rw-r--r--1rootroot313Mar1817:30ufw.conf -rw-r-----1rootroot1711Mar1910:42user.rules -rw-r-----1rootroot1530Mar1910:42user6.rules
本文前面所作的更改,为http访问添加了端口80和为https访问添加了端口443,在user.rules和user6.rules文件中看起来像这样:
#grep"80"user*.rules user6.rules:###tuple###allowtcp80::/0any::/0in user6.rules:-Aufw6-user-input-ptcp--dport80-jACCEPT user.rules:###tuple###allowtcp800.0.0.0/0any0.0.0.0/0in user.rules:-Aufw-user-input-ptcp--dport80-jACCEPT Youhavenewmailin/var/mail/root #grep443user*.rules user6.rules:###tuple###allowtcp443::/0any::/0in user6.rules:-Aufw6-user-input-ptcp--dport443-jACCEPT user.rules:###tuple###allowtcp4430.0.0.0/0any0.0.0.0/0in user.rules:-Aufw-user-input-ptcp--dport443-jACCEPT
使用ufw,你还可以使用以下命令轻松地阻止来自一个IP地址的连接:
$sudoufwdenyfrom208.176.0.50
Ruleadded
status命令将显示更改:
$sudoufwstatusverbose Status:active Logging:on(low) Default:deny(incoming),allow(outgoing),disabled(routed) Newprofiles:skip ToActionFrom ------------ 22ALLOWIN192.168.0.0/24 9090ALLOWINAnywhere 80/tcpALLOWINAnywhere 443/tcpALLOWINAnywhere AnywhereDENYIN208.176.0.50<==new 9090(v6)ALLOWINAnywhere(v6) 80/tcp(v6)ALLOWINAnywhere(v6) 443/tcp(v6)ALLOWINAnywhere(v6)
总而言之,ufw不仅容易配置,而且且容易理解。
总结
到此这篇关于Linux防火墙ufw简介的文章就介绍到这了,更多相关Linux防火墙ufw内容请搜索毛票票以前的文章或继续浏览下面的相关文章希望大家以后多多支持毛票票!