UFW(单纯性防火墙)是一个前端iptables防火墙。它非常适合基于主机的防火墙。它是专为管理防火墙提供了一种简单,即使用户没有使用防火墙太多的想法。本教程将帮助您对Ubuntu和Debian系统设置UFW防火墙。
安装UFW
首先确保在你的Ubuntu系统中已经安装了最新版本的UFW防火墙。使用下面的命令来安装或更新UFW防火墙。
$ sudo apt-get update
$ sudo apt-get install ufw
启用/禁用 UFW
使用下面的命令来启用或禁用防火墙。
$ sudo ufw disable
$ sudo ufw enable
检查UFW状态
现在确保UFW处于活动模式。
rahul@youcl.com:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
启用/禁用IPv6
您可能需要使用IPv6与防火墙。禁用IPv6支持,如果你的系统没有配置为使用IPv6。要做到这一点编辑
/etc/default/ufw 并设置IPV6 “yes” 或 “no”。
IPV6=no
配置后,禁用和启用防火墙
$ sudo ufw disable && sudo ufw enable
允许连接,使用UFW
- 允许特定的端口:允许一个单一的端口,如允许端口21(FTP),80(HTTP)和443(HTTPS)。
$ sudo ufw allow 21/tcp
$ sudo ufw allow 80/tcp
$ sudo ufw allow 443/tcp
- 允许指定的服务: UFW使用/etc/services文件,以获得特定服务的端口,因此,我们可以允许与名称,而不是定义端口的所有服务。 如FTP(21),HTTP(80)。
$ sudo ufw allow ftp/tcp
$ sudo ufw allow http/tcp
$ sudo ufw allow https/tcp
- 允许端口范围 :我们也可以让像单个命令端口范围:
$ sudo ufw allow 1100-1200/tcp
- 允许访问特定IP :允许下面的命令从特定的IP地址使用的连接。
$ sudo ufw allow from 192.168.1.100
- 允许访问子网 :要允许从以下命令子网使用任何IP地址的连接。
$ sudo ufw allow from 192.168.1.0/24
- 允许IP到特定端口:允许从以下命令子网使用任何IP地址的连接。
$ sudo ufw allow from 192.168.1.100 to any port 22
拒绝连接,使用UFW
- 拒绝特定的端口 :拒绝一个单一的端口,如拒绝端口21(FTP),80(HTTP)和443(HTTPS)。
$ sudo ufw deny 21/tcp
$ sudo ufw deny 80/tcp
$ sudo ufw deny 443/tcp
- 拒绝端口范围 :我们也可以让像单个命令端口范围:
$ sudo ufw deny 1100-1200/tcp
- 拒绝访问特定的IP :要拒绝以下命令从特定的IP地址使用的连接。
$ sudo ufw deny from 192.168.1.100
- 拒绝访问子网 :拒绝来自以下命令子网使用任何IP地址的连接。
$ sudo ufw deny from 192.168.1.0/24
- 拒绝IP地址到特定端口 :要拒绝来自以下命令子网使用任何IP地址的连接。
$ sudo ufw allow from 192.168.1.100 to any port 22
启用或禁用日志记录
UFW创造了在 /var/log/ufw.log 文件中的所有过滤连接日志。它可以为以下故障排除使用要启用或禁用记录有帮助。
启用日志记录:
$ sudo ufw logging on
禁用日志记录:
$ sudo ufw logging off
参考:
https://wiki.ubuntu.com/UncomplicatedFirewall
