ubuntu防火墻規(guī)則之ufw

前言#

因公司項(xiàng)目的需求，需要對(duì)客戶端機(jī)器簡(jiǎn)便使用防火墻的功能，所以可在頁(yè)面進(jìn)行簡(jiǎn)便設(shè)置防護(hù)墻規(guī)則，當(dāng)然，這個(gè)功能需求放到我手上我才有機(jī)會(huì)學(xué)到。因?yàn)榭蛻舳藱C(jī)器都是ubuntu的，所以當(dāng)然用了ubuntu特有且簡(jiǎn)便的防火墻設(shè)置規(guī)則，那就是ufw，文章以u(píng)buntu16.04為準(zhǔn)，其它版本的用法應(yīng)該也差不太多。本文著重介紹其常用的用法，至于其他的用法那就要等各位小伙伴再自行研究了。

wiki#

UFW 全稱為Uncomplicated Firewall，是Ubuntu 系統(tǒng)上默認(rèn)的防火墻組件, 為了輕量化配置iptables 而開(kāi)發(fā)的一款工具。UFW 提供一個(gè)非常友好的界面用于創(chuàng)建基于IPV4，IPV6的防火墻規(guī)則。

# ufw使用教程 使用ufw的命令必須有管理員權(quán)限才可運(yùn)行，沒(méi)有的話就要sudo一下了，不過(guò)要注意安全，不能瞎搞哈。。。 

開(kāi)啟和禁用#

   

    Copy
   
# ufw enable //開(kāi)啟防火墻
# ufw disable //禁用防火墻
# ufw reset //重置防火墻，會(huì)把你所有已添加的規(guī)則全部刪除，并且禁用防火墻

可以使用以下命令查看ufw防火墻的狀態(tài)

   

    Copy
   
# ufw status
// 沒(méi)開(kāi)啟是這個(gè)樣子的
Status: inactive  

//開(kāi)啟后是這樣子的
Status: active
...  // 如果你添加了防火墻規(guī)則下面這里就會(huì)顯示

設(shè)置默認(rèn)的防火墻規(guī)則，默認(rèn)為允許，就是說(shuō)什么玩意都允許你連進(jìn)來(lái)。

   

    Copy
   
# ufw default allow|deny  //設(shè)置默認(rèn)規(guī)則
allow : 允許
deny : 拒絕

協(xié)議規(guī)則#

協(xié)議規(guī)則就是有關(guān)于協(xié)議的一些防火墻規(guī)則。

   

    Copy
   
ufw [delete] [insert NUM]  allow|deny [in|out]  [PORT[/PROTOCOL] ]  [comment COMMENT]

delete : 刪除這個(gè)規(guī)則
insert : Num代表你要插入到防火墻規(guī)則的那個(gè)位置，規(guī)則是有序排列的。會(huì)根據(jù)需要來(lái)一個(gè)個(gè)檢查
allow|deny : 這條規(guī)則是允許的還是禁用的
in|out: 這條規(guī)則對(duì)發(fā)送還是接收數(shù)據(jù)生效
PORT: 端口號(hào)
protocol : 協(xié)議，例如TCP還是UDP
comment : 注釋
...

添加一條允許ssh的規(guī)則(ssh的端口號(hào)是22，協(xié)議是TCP)，并且插入到位置2

   

    Copy
   
# ufw insert 2 allow in 22/tcp

禁用22端口連入

   

    Copy
   
# ufw deny in 22

ip規(guī)則#

ip規(guī)則里面可以包含端口號(hào)和協(xié)議，反過(guò)來(lái)則不行。

   

    Copy
   
ufw  [delete]  [insert  NUM]  allow|deny  [in|out  [on INTERFACE]] [proto PROTOCOL] 
[from ADDRESS [port PORT]]  [to ADDRESS [port PORT]] [comment COMMENT]

INTERFACE ：網(wǎng)卡，就是針對(duì)哪個(gè)網(wǎng)卡生效，可以使用ifconfig或ip addr查看你的網(wǎng)卡
form ADDRESS  : 源IP地址
to ADDRESS : 目標(biāo)IP地址
PORT : 跟在源IP地址后面就是源IP地址的端口號(hào)，反之則是目標(biāo)IP地址的端口號(hào)
其他的都和協(xié)議規(guī)則的一致

添加允許192.168.0.2 的22端口tcp協(xié)議（ssh）的規(guī)則

   

    Copy
   
# ufw allow proto tcp from 192.168.0.2 port 22

若你的系統(tǒng)上有幫他人進(jìn)行轉(zhuǎn)發(fā)信息的進(jìn)程，那么你可以允許來(lái)自某個(gè)源IP地址發(fā)送信息到某個(gè)目標(biāo)地址，例：允許源IP地址192.168.0.2的8088端口 發(fā)送到 目標(biāo)地址192.162.0.2的8080端口

   

    Copy
   
# ufw allow from 192.168.0.2 port 80 to 192.168.0.2 port 8080

刪除規(guī)則#

刪除規(guī)則分兩種，一種是根據(jù)規(guī)則的內(nèi)容刪除，一種是根據(jù)序號(hào)刪除

方式一#

剛才添加規(guī)則的命令前面添加delete參數(shù)，例：

   

    Copy
   
# ufw allow 22/tcp //添加一條允許ssh的規(guī)則
# ufw delete allow 22/tcp //刪除ssh規(guī)則

方式二#

根據(jù)序號(hào)刪除，怎么知道規(guī)則的序號(hào)呢？使用ufw status numbered

   

    Copy
   
# ufw status numbered //查
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere

我需要?jiǎng)h除第一條規(guī)則

   

    Copy
   
# ufw delete 1 //這樣就是刪除第一條規(guī)則啦

推薦設(shè)置#

   

    Copy
   
# ufw enbale //開(kāi)啟防火墻
# ufw alllow ssh // 添加ssh的規(guī)則，這是簡(jiǎn)寫規(guī)則
# ufw default deny //設(shè)置默認(rèn)為禁用，但是我們已經(jīng)添加了ssh規(guī)則，就不擔(dān)心。
后面這里你們就可以自己搞事情啦！
...

好了，以上講的都是比較基本的用法，想要深入了解的話可以自行到官網(wǎng)上看看，后面會(huì)出一章關(guān)于iptables的防火墻規(guī)則，ufw就是基于iptables上進(jìn)行封裝的，iptables適用于所有Linux系統(tǒng)哦，不單單是只有Ubuntu了。這篇文章到此結(jié)束，感謝各位小伙伴的閱讀，Thanks?(?ω?)?

鏈接：https://www.cnblogs.com/Johnson-lin/p/11261338.html

（版權(quán)歸原作者所有，侵刪）