当前位置: 首页 > article >正文

如何在 Ubuntu 16.04 上使用 UFW 设置防火墙

前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。

简介

UFW(Uncomplicated Firewall)是一个面向简化配置防火墙过程的 iptables 接口。虽然 iptables 是一个稳定且灵活的工具,但对于初学者来说,学习如何正确配置防火墙可能会有一定难度。如果你想开始保护你的网络,但又不确定应该使用哪种工具,那么 UFW 可能是你的正确选择。

本教程将向您展示如何在 Ubuntu 16.04 上使用 UFW 设置防火墙。

先决条件

要按照本教程操作,您需要:

  • 一个安装了 sudo 非 root 用户的 Ubuntu 16.04 服务器,您可以按照《在 Ubuntu 16.04 上进行初始服务器设置》中的步骤 1-3 进行设置。

UFW 默认已安装在 Ubuntu 上。如果由于某些原因它被卸载了,您可以使用 sudo apt-get install ufw 命令进行安装。

步骤 1 —— 使用 IPv6 配置 UFW(可选)

本教程是针对 IPv4 编写的,但只要启用了 IPv6,它也适用于 IPv6。如果您的 Ubuntu 服务器已启用 IPv6,请确保 UFW 配置支持 IPv6,以便它管理 IPv6 和 IPv4 的防火墙规则。为此,使用 nano 或您喜欢的编辑器打开 UFW 配置。

sudo nano /etc/default/ufw

然后确保 IPV6 的值为 yes。它应该是这样的:

...
IPV6=yes
...

保存并关闭文件。现在,当启用 UFW 时,它将被配置为编写 IPv4 和 IPv6 防火墙规则。但是,在启用 UFW 之前,我们需要确保您的防火墙已配置为允许您通过 SSH 进行连接。让我们从设置默认策略开始。

步骤 2 —— 设置默认策略

如果您刚开始使用防火墙,首先要定义的规则是默认策略。这些规则控制如何处理不明确匹配任何其他规则的流量。默认情况下,UFW 被设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图连接到您的云服务器的人都无法连接,而服务器内的任何应用程序都可以连接到外部世界。

让我们将您的 UFW 规则设置回默认值,以确保您能够按照本教程进行操作。要设置 UFW 使用的默认值,请使用以下命令:

sudo ufw default deny incoming
sudo ufw default allow outgoing

这些命令将默认设置为拒绝传入连接并允许传出连接。这些防火墙默认值可能足够用于个人计算机,但服务器通常需要响应来自外部用户的传入请求。我们将在下一步中进行讨论。

步骤 3 —— 允许 SSH 连接

如果现在启用我们的 UFW 防火墙,它将拒绝所有传入连接。这意味着如果我们希望服务器响应这些类型的请求 — 例如 SSH 或 HTTP 连接 — 我们需要创建明确允许合法传入连接的规则。如果您使用的是云服务器,您可能希望允许传入的 SSH 连接,以便连接到并管理您的服务器。

要配置服务器允许传入的 SSH 连接,您可以使用以下命令:

sudo ufw allow ssh

这将创建防火墙规则,允许在默认情况下 SSH 守护程序监听的端口 22 上的所有连接。UFW 知道 SSH 和许多其他服务名称的含义,因为它们在 /etc/services 文件中列出。

但是,我们实际上可以通过指定端口而不是服务名称来编写等效规则。例如,此命令与上面的命令相同:

sudo ufw allow 22

如果您配置了 SSH 守护程序使用不同的端口,您将需要指定适当的端口。例如,如果您的 SSH 服务器正在端口 2222 上监听,您可以使用此命令允许该端口上的连接:

sudo ufw allow 2222

现在,您的防火墙已配置为允许传入的 SSH 连接,我们可以启用它。

步骤 4 —— 启用 UFW

要启用 UFW,请使用此命令:

sudo ufw enable

您将收到一个警告,指出该命令可能会中断现有的 SSH 连接。我们已经设置了一个允许 SSH 连接的防火墙规则,所以继续进行应该没问题。用 y 响应提示。

防火墙现在已激活。随时运行 sudo ufw status verbose 命令查看设置的规则。本教程的其余部分将更详细地介绍如何使用 UFW,比如允许或拒绝不同类型的连接。

步骤 5 — 允许其他连接

到目前为止,您应该允许服务器需要响应的所有其他连接。您应该允许的连接取决于您的具体需求。幸运的是,您已经知道如何编写基于服务名称或端口的连接规则;我们已经为端口22上的SSH做过这个操作。您还可以为以下服务执行此操作:

  • HTTP使用端口80,这是非加密的 Web 服务器使用的端口,使用sudo ufw allow httpsudo ufw allow 80
  • HTTPS使用端口443,这是加密的 Web 服务器使用的端口,使用sudo ufw allow httpssudo ufw allow 443
  • FTP使用端口21,用于非加密文件传输(您可能不应该使用),使用sudo ufw allow ftpsudo ufw allow 21/tcp

除了指定端口或已知服务外,还有其他几种允许其他连接的方法。

指定端口范围

您可以使用 UFW 指定端口范围。一些应用程序使用多个端口,而不是单个端口。

例如,要允许使用端口6000-6007的X11连接,请使用以下命令:

sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

在使用 UFW 指定端口范围时,您必须指定规则应用的协议(tcpudp)。我们之前没有提到这一点,因为不指定协议简单地允许两种协议,这在大多数情况下都可以。

指定 IP 地址

在使用 UFW 时,您还可以指定 IP 地址。例如,如果您想允许来自特定 IP 地址的连接,比如工作或家庭 IP 地址15.15.15.51,您需要指定from,然后是 IP 地址:

sudo ufw allow from 15.15.15.51

您还可以通过添加to any port后跟端口号来指定 IP 地址允许连接的特定端口。例如,如果您想允许15.15.15.51连接到端口22(SSH),请使用此命令:

sudo ufw allow from 15.15.15.51 to any port 22

子网

如果要允许 IP 地址的子网,可以使用 CIDR 表示法指定子网掩码。例如,如果要允许从15.15.15.115.15.15.254的所有 IP 地址,可以使用此命令:

sudo ufw allow from 15.15.15.0/24

同样,您还可以指定子网15.15.15.0/24允许连接到的目标端口。同样,我们将使用端口22(SSH)作为示例:

sudo ufw allow from 15.15.15.0/24 to any port 22

连接到特定网络接口

如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定“allow in on”后跟网络接口的名称来实现。

在继续之前,您可能需要查找您的网络接口。要这样做,请使用此命令:

ip addr
[secondary_label 输出摘录:]
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
...
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default 
...

突出显示的输出指示了网络接口名称。它们通常被命名为eth0eth1之类的名称。

因此,如果您的服务器有一个名为eth0的公共网络接口,您可以使用此命令允许 HTTP 流量(端口80)到达它:

sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器从公共互联网接收 HTTP 请求。

或者,如果您希望您的 MySQL 数据库服务器(端口3306)在私有网络接口eth1上监听连接,例如,您可以使用此命令:

sudo ufw allow in on eth1 to any port 3306

这将允许私有网络上的其他服务器连接到您的 MySQL 数据库。

步骤 6 — 拒绝连接

如果您没有更改传入连接的默认策略,UFW 配置为拒绝所有传入连接。通常,这简化了通过要求您明确允许特定端口和 IP 地址的规则来创建安全防火墙策略的过程。

但是,有时您可能希望基于源 IP 地址或子网拒绝特定连接,也许是因为您知道您的服务器正在受到攻击。此外,如果您想将默认传入策略更改为允许(出于安全考虑不建议),则需要为任何不希望允许连接的服务或 IP 地址创建拒绝规则。

要编写拒绝规则,可以使用上面描述的命令,将allow替换为deny

例如,要拒绝 HTTP 连接,您可以使用此命令:

sudo ufw deny http

或者,如果您想拒绝来自15.15.15.51的所有连接,您可以使用此命令:

sudo ufw deny from 15.15.15.51

现在让我们看看如何删除规则。

步骤 7 — 删除规则

了解如何删除防火墙规则与了解如何创建它们一样重要。有两种不同的方式来指定要删除的规则:按规则编号或按实际规则(类似于创建规则时指定规则的方式)。我们将从按规则编号删除的方法开始,因为与编写要删除的实际规则相比,这种方法对于 UFW 新手来说更容易。

按规则编号

如果您使用规则编号来删除防火墙规则,首先要做的是获取防火墙规则的列表。UFW 状态命令有一个选项,可以在每个规则旁边显示编号,如下所示:

sudo ufw status numbered
[secondary_label 编号输出:]
状态:active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

如果我们决定要删除规则 2,即允许端口 80(HTTP)连接的规则,我们可以在 UFW 删除命令中指定如下:

sudo ufw delete 2

这将显示一个确认提示,然后删除允许 HTTP 连接的规则 2。请注意,如果您已启用 IPv6,则还应删除相应的 IPv6 规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。例如,如果要删除允许 http规则,可以这样写:

sudo ufw delete allow http

您还可以按服务名称而不是按端口号allow 80来指定规则:

sudo ufw delete allow 80

如果存在的话,此方法将删除 IPv4 和 IPv6 规则。

步骤 8 — 检查 UFW 状态和规则

随时可以使用以下命令检查 UFW 的状态:

sudo ufw status verbose

如果 UFW 处于禁用状态(默认情况下是这样),您将看到类似以下内容:

状态:inactive

如果 UFW 处于活动状态(如果您按照第 3 步进行了设置,它应该是活动的),输出将显示它是活动的,并列出任何设置的规则。例如,如果防火墙设置为允许来自任何地方的 SSH(端口22)连接,则输出可能如下所示:

状态:active
日志记录:on(低)
默认:deny(入站),allow(出站),disabled(路由)
新配置文件:skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere

如果要检查 UFW 如何配置防火墙,请使用status命令。

步骤 9 — 禁用或重置 UFW(可选)

如果您决定不使用 UFW,可以使用以下命令禁用它:

sudo ufw disable

使用 UFW 创建的任何规则将不再生效。如果以后需要激活它,可以随时运行sudo ufw enable

如果您已经配置了 UFW 规则,但决定要重新开始,可以使用重置命令:

sudo ufw reset

这将禁用 UFW 并删除先前定义的任何规则。请注意,如果您在任何时候修改了默认策略,它们的默认设置不会更改。这应该让您以全新的状态开始使用 UFW。

结论

您的防火墙现在应该配置为允许(至少)SSH 连接。请确保允许服务器的任何其他入站连接,同时限制任何不必要的连接,以使您的服务器既功能正常又安全。

要了解更多常见的 UFW 配置,请查看 UFW 基础知识:常见防火墙规则和命令教程。


http://www.kler.cn/a/375384.html

相关文章:

  • Linux搭建TRELLIS详细流程
  • 华为ensp--BGP路由反射器
  • Charles安装证书过程(手机)
  • springboot vue 会员营销系统
  • LLMs之PDF:MinerU(将PDF文件转换成Markdown和JSON格式)的简介、安装和使用方法、案例应用之详细攻略
  • 再服务器上建立新的编译环境
  • VsCode显示空格
  • 移远通信推出八款天线新品,覆盖5G、4G、Wi-Fi和LoRa领域
  • const对象仅在文件内有效的问题
  • 探讨Facebook的AI研究:未来社交平台的技术前瞻
  • 机器视觉中光源镜头和相机的关系
  • Django数据模型on_delete属性值
  • 大厂面试真题-很多系统会使用netty进行长连接,连接太多会有问题吗
  • Linux中部署PostgreSQL保姆级教程
  • 实习冲刺Day10
  • 【CSS】CSS 样式重置 (normalize.css 和 reset.css) 和通用样式配置
  • 虚拟现实与增强现实:重塑娱乐和教育的边界!
  • Pytest-Bdd-Playwright 系列教程(6):在测试步骤函数中设置别名数据共享
  • 校园社团信息管理:Spring Boot技术的优势与实现
  • 提升用户体验优化全攻略
  • !!!Docker 实践与应用实例
  • vue系列==vue3新语法
  • 奥数与C++小学四年级(第十六题 魔法学院)
  • MATLAB生态环境数据处理与分析
  • 【OpenGL】知识点
  • Centos7.9 x86架构部署