ufw 防火墙的使用

最新推荐文章于 2025-04-04 09:10:56 发布
最新推荐文章于 2025-04-04 09:10:56 发布
阅读量3.3k 收藏 5
点赞数 1
分类专栏: Linux 文章标签: ufw 防火墙配置
本文介绍了如何使用UFW(Uncomplicated Firewall)在ArchLinux、Debian或Ubuntu中管理防火墙规则,包括安装、配置默认规则、添加和删除规则、编辑配置文件、查看状态和日志记录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

UFW,即简单防火墙uncomplicated firewall,是一个 Arch Linux、Debian 或 Ubuntu 中管理防火墙规则的前端。 UFW 通过命令行使用(尽管它有可用的 GUI),它的目的是使防火墙配置简单(即不复杂uncomplicated)。

开始之前

1、 熟悉我们的入门指南,并完成设置服务器主机名和时区的步骤。

2、 本指南将尽可能使用 sudo。 在完成保护你的服务器指南的章节,创建一个标准用户帐户,强化 SSH 访问和移除不必要的网络服务。 但不要跟着创建防火墙部分 - 本指南是介绍使用 UFW 的,它对于 iptables 而言是另外一种控制防火墙的方法。

3、 更新系统

Arch Linux

 
 
  1. sudo pacman -Syu

Debian / Ubuntu

 
 
  1. sudo apt-get update && sudo apt-get upgrade

安装 UFW

UFW 默认包含在 Ubuntu 中,但在 Arch 和 Debian 中需要安装。 Debian 将自动启用 UFW 的 systemd 单元,并使其在重新启动时启动,但 Arch 不会。 这与告诉 UFW 启用防火墙规则不同,因为使用 systemd 或者 upstart 启用 UFW 仅仅是告知 init 系统打开 UFW 守护程序。

默认情况下,UFW 的规则集为空,因此即使守护程序正在运行,也不会强制执行任何防火墙规则。 强制执行防火墙规则集的部分在下面。

Arch Linux

1、 安装 UFW:

 
 
  1. sudo pacman -S ufw

2、 启动并启用 UFW 的 systemd 单元:

 
 
  1. sudo systemctl start ufw
  2. sudo systemctl enable ufw
Debian / Ubuntu

1、 安装 UFW

 
 
  1. sudo apt-get install ufw

使用 UFW 管理防火墙规则

设置默认规则

大多数系统只需要打开少量的端口接受传入连接,并且关闭所有剩余的端口。 从一个简单的规则基础开始,ufw default命令可以用于设置对传入和传出连接的默认响应动作。 要拒绝所有传入并允许所有传出连接,那么运行:

 
 
  1. sudo ufw default allow outgoing
  2. sudo ufw default deny incoming

ufw default 也允许使用 reject 参数。

警告:

除非明确设置允许规则,否则配置默认 denyreject 规则会锁定你的服务器。确保在应用默认 denyreject 规则之前,已按照下面的部分配置了 SSH 和其他关键服务的允许规则。

添加规则

可以有两种方式添加规则:用端口号或者服务名表示。

要允许 SSH 的 22 端口的传入和传出连接,你可以运行:

 
 
  1. sudo ufw allow ssh

你也可以运行:

 
 
  1. sudo ufw allow 22

相似的,要在特定端口(比如 111)上 deny 流量,你需要运行:

 
 
  1. sudo ufw deny 111

为了更好地调整你的规则,你也可以允许基于 TCP 或者 UDP 的包。下面例子会允许 80 端口的 TCP 包:

 
 
  1. sudo ufw allow 80/tcp
  2. sudo ufw allow http/tcp

这个会允许 1725 端口上的 UDP 包:

 
 
  1. sudo ufw allow 1725/udp
高级规则

除了基于端口的允许或阻止,UFW 还允许您按照 IP 地址、子网和 IP 地址/子网/端口的组合来允许/阻止。

允许从一个 IP 地址连接:

 
 
  1. sudo ufw allow from 123.45.67.89

允许特定子网的连接:

 
 
  1. sudo ufw allow from 123.45.67.89/24

允许特定 IP/ 端口的组合:

 
 
  1. sudo ufw allow from 123.45.67.89 to any port 22 proto tcp

proto tcp 可以删除或者根据你的需求改成 proto udp,所有例子的 allow 都可以根据需要变成 deny

删除规则

要删除一条规则,在规则的前面加上 delete。如果你希望不再允许 HTTP 流量,你可以运行:

 
 
  1. sudo ufw delete allow 80

删除规则同样可以使用服务名。

编辑 UFW 的配置文件

虽然可以通过命令行添加简单的规则,但仍有可能需要添加或删除更高级或特定的规则。 在运行通过终端输入的规则之前,UFW 将运行一个文件 before.rules,它允许回环接口、ping 和 DHCP 等服务。要添加或改变这些规则,编辑 /etc/ufw/before.rules 这个文件。 同一目录中的 before6.rules 文件用于 IPv6 。

还存在一个 after.ruleafter6.rule 文件,用于添加在 UFW 运行你通过命令行输入的规则之后需要添加的任何规则。

还有一个配置文件位于 /etc/default/ufw。 从此处可以禁用或启用 IPv6,可以设置默认规则,并可以设置 UFW 以管理内置防火墙链。

UFW 状态

你可以在任何时候使用命令:sudo ufw status 查看 UFW 的状态。这会显示所有规则列表,以及 UFW 是否处于激活状态:

 
 
  1. Status: active
  3. To                         Action      From
  4. --                         ------      ----
  5. 22                         ALLOW       Anywhere
  6. 80/tcp                     ALLOW       Anywhere
  7. 443                        ALLOW       Anywhere
  8. 22 (v6)                    ALLOW       Anywhere (v6)
  9. 80/tcp (v6)                ALLOW       Anywhere (v6)
  10. 443 (v6)                   ALLOW       Anywhere (v6)

启用防火墙

随着你选择规则完成,你初始运行 ufw status 可能会输出 Status: inactive。 启用 UFW 并强制执行防火墙规则:

 
 
  1. sudo ufw enable

相似地,禁用 UFW 规则:

 
 
  1. sudo ufw disable

UFW 会继续运行,并且在下次启动时会再次启动。

日志记录

你可以用下面的命令启动日志记录:

 
 
  1. sudo ufw logging on

可以通过运行 sudo ufw logging low|medium|high 设计日志级别,可以选择 low、 medium 或者 high。默认级别是 low

常规日志类似于下面这样,位于 /var/logs/ufw

 
 
  1. Sep 16 15:08:14 <hostname> kernel: [UFW BLOCK] IN=eth0 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=123.45.67.89 DST=987.65.43.21 LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=8475 PROTO=TCP SPT=48247 DPT=22 WINDOW=1024 RES=0x00 SYN URGP=0

前面的值列出了你的服务器的日期、时间、主机名。剩下的重要信息包括:

  • [UFW BLOCK]:这是记录事件的描述开始的位置。在此例中,它表示阻止了连接。
  • IN:如果它包含一个值,那么代表该事件是传入事件
  • OUT:如果它包含一个值,那么代表事件是传出事件
  • MAC:目的地和源 MAC 地址的组合
  • SRC:包源的 IP
  • DST:包目的地的 IP
  • LEN:数据包长度
  • TTL:数据包 TTL,或称为 time to live。 在找到目的地之前,它将在路由器之间跳跃,直到它过期。
  • PROTO:数据包的协议
  • SPT:包的源端口
  • DPT:包的目标端口
  • WINDOW:发送方可以接收的数据包的大小
  • SYN URGP:指示是否需要三次握手。 0 表示不需要。
ubuntu防火墙管理工具UFW简单使用方法
qq_38955098的博客
08-07 1705
UFW,即Uncomplicated Firewall,是基于iptables实现的防火墙管理工具,旨在简化配置防火墙的过程,所以实际上UFW修改的是iptables的规则。虽然iptables是一个坚实而灵活的工具,但初学者很难学习如何使用它来正确配置防火墙。如果您希望开始保护您的网络,并且您不确定使用哪种工具,UFW可能是您的正确选择。 本文测试环境为Ubuntu 16.04,其他系统可做参考。 0x01. 温馨提示 如果是远程操作的话,请做好定时防火墙失效,防止自己连接不上。 每10分钟关闭防火墙 $
如何在操作使用ufw设置防火墙
Lenn Louis' Scribe
07-04 1605
UFW(简单防火墙)是用于管理iptables防火墙规则的用户友好型前端。它的主要目标是使iptables的管理更容易。在学习Linux的时候大家一般都会关心命令,Posix API和桌面等,很少会去了解防护墙。其实除了一些网络安全厂商提供的付费防火墙,Debian系的Linux发新版本省就自带了UFW防火墙
在 Ubuntu 中用 UFW 配置防火墙
weixin_33835103的博客
05-31 522
UFW,即简单防火墙uncomplicated firewall,是一个 Arch Linux、Debian 或 Ubuntu 中管理防火墙规则的前端。 UFW 通过命令行使用(尽管它有可用的 GUI),它的目的是使防火墙配置简单(即不复杂uncomplicated)。 开始之前 1、 熟悉我们的入门指南,并完成设置服务器主机名和时区的步骤。 2、 本...
Ubuntu防火墙UFW详解
weixin_43592627的博客
04-04 329
讲解Ubuntu操作系统的防火墙UFW常用操作
ubuntu ufw 防火墙使用
全栈工程师第一人的博客
08-30 1290
ufw 命令 使用方法 请 man ufw 开介绍 本文记录一次因为公司测试服务器被黑,导致写字楼断网2小时,事后强制开启 服务器防火墙; 之前对ufw 不是很熟 一直使用 iptables ; 1: 安装完 ufw 先启用 , ufw enable 2: ufw allow 语法 开启需要的规则 3:如果还不通 请检查 ufw default allow/deny:外来访问默认允许/拒绝 是不是allow 本人就是被这个命令坑了 ;(网上很多帖子真的很靠,质量是真差),最后看的手册找见的 通过这次事情
Ubuntu ufw 取消 网关到 224.0.0.1 multicast 日志
然光 不学无術 暗于大理
09-25 707
查看 /var/log/ufw.log,每 20 秒就有一条由网关去 224.0.0.1 的日志 1492 Sep 25 11:41:49 ubuntu kernel: [ 555.686523] [UFW BLOCK] IN=eno1 OUT= MAC=XXXXXXXXXXXX SRC=192.168.50.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=20749 DF PROTO=2 1493 Sep 25 11:42:09 ubuntu k
Ubuntu简单设置ufw防火墙
TangCuYu的博客
05-16 1326
UFW,即简单防火墙 (uncomplicated firewall),是一个 Arch Linux、Debian 或 Ubuntu 中管理防火墙规则的前端。 UFW 通过命令行使用(尽管它有可用的 GUI),它的目的是使防火墙配置简单(即不复杂 uncomplicated). 一 更新系统 $ sudo apt-get update &amp;&amp; sudo apt-get u...
ufw防火墙(ubuntu)
09-19
ufw防火墙(ubuntu)
ufw防火墙_Ubuntu防火墙UFW –完整指南
从零开始的教程世界
07-18 1930
ufw防火墙The Ubuntu Firewall (UFW) is an extremely easy to use command-line firewall utility that interfaces with IPTables to make firewall configuration easy. Ubuntu防火墙UFW)是一种非常易于使用的命令行防火墙实用程序,可与IPTabl...
Ubuntu ufw防火墙规则顺序问题.docx
10-30
使用 ufw 时,需要注意规则顺序的问题,正确地添加规则,以确保防火墙的安全性。同时,也需要了解 Ubuntu 的特点,避免一些常见的问题。 ufw 是一个简化 iptables 的工具,它可以帮助用户更方便地管理防火墙规则...
ufw防火墙基本操作
Sun_Raiser的博客
06-06 1128
命令后,UFW会自动设置一个限制规则,该规则会监控到22端口的连接尝试。如果连接尝试的频率超过了UFW设定的阈值(通常是每分钟6次),那么后续的连接尝试将被暂时拒绝,直到下一个分钟周期开始。这有助于防止自动化的暴力破解攻击,因为这类攻击通常涉及在短时间内进行大量的连接尝试。规则并不会完全阻止所有的连接尝试,而是在检测到异常高的连接频率时,暂时延迟或拒绝额外的连接请求。请注意,在进行ufw防火墙配置时,务必谨慎操作,以免无意中锁定自己对系统的访问。防火墙配置应根据具体的系统和网络需求进行定制。
Linux关闭ufw防火墙,开启ufw防火墙的一些命令
weixin_32808905的博客
05-13 5086
UFW,即Uncomplicated Firewall,是基于iptables实现的防火墙管理工具,旨在简化配置防火墙的过程,所以实际上UFW修改的是iptables的规则。虽然iptables是一个坚实而灵活的工具,但初学者很难学习如何使用它来正确配置防火墙。如果您希望开始保护您的网络,并且您不确定使用哪种工具,UFW可能是您的正确选择。本文测试环境为Ubuntu 16.04,其他系统可做参考。...
【Linux】ufw(简单防火墙使用指南
qq_43017750的博客
03-18 1093
#安装UFW防火墙 apt-get install ufw #允许ssh流量入网出网 ufw allow ssh #允许22端口的流量入网出网 ufw allow 22 #拒绝111端口上的流量入网出网 ufw deny 111 #允许TCP的80端口入网出网 ufw allow 80/tcp ufw allow http/tcp #允许UDP的1725端口入网出网 ufw allow ...
[linux]-ubuntu使用ufw及相关配置
爷来辣的博客
08-17 4875
ufw
【DevOps】Ubuntu防火墙配置:如何封禁黑客攻击源IP
Coder加油站的专栏
05-10 7067
昨天一台在公网的测试Web服务器的CPU突然彪到95%,查了一下发现是有人在做CC攻击,短期内大量的访问我们的正常的URL,然后导致这台测试服务器的资源被占用,CPU达到95%。我们需要找出攻击的IP地址,然后开启防火墙阻止这个黑客的攻击。设完了以后,发现访问居然没有停止,难道是我们的规则没有起作用吗?中,规则的顺序很重要,规则是按照它们的添加顺序进行匹配的。合理使用 UFW 防火墙规则和日志监控,有助于提升服务器的安全性并阻止未经授权的访问。这样,禁止特定 IP 地址的规则将优先于其他规则,使其生效。
防火墙阻止了从docker容器到外部的网络连接
南客先生的博客
04-20 3521
防火墙阻止了从docker容器到外部的网络连接 对我来说,这是一个非常标准的设置,我有一台ubuntu机器运行docker和ufw作为我的防火墙 . 如果我的防火墙启用,则docker实例无法连接到外部 $ docker exec -it nacos /bin/sh // 进入nacos容器中 WARNING: Docker detected local DNS server on resolv.conf. Using default external servers: [8.8.8.8 8.8.4.4]
v4l2日志
seiyaaa的专栏
01-19 354
TTL=1 ID=0 PROTO=2 [ 678.696248] [UFW BLOCK] IN=wlan0 OUT= MAC=01:00:5e:00:00:fb:c4:2a:d0:67:46:7d:08:00 SRC=192.168.0.104 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=15408 PROTO=2 [ 683.832450] [UFW BLOCK] IN=wlan0 OUT= MAC=38:59:f9:af:69:14:30:...
2023年全国职业院校技能大赛中职组物联网应与服务D卷
m0_67624729的博客
05-08 1389
(2)使用命令查询网络地址配置结果,请将查询结果界面截图(要求截图中可以看到具体的命令),另存为。(6)将修改ssh服务远程连接的默认端口修改成8888的配置界面截图,另存为。(1)将配置“禁止工作站访问服务器计算机”的规则配置结果界面截图,另存为。(4)将配置ufw允许TCP的5505端口可以访问本机的界面截图,另存为。(7)将在终端使用命令查看命令执行的历史记录的界面截图,另存为。(2)将确认服务器计算机80端口是否可用的界面截图,另存为。(3)将查看ip地址和物理地址映射的界面截图,另存为。
Samba服务访问异常分析处理
weixin_45119096的博客
06-18 1308
samba服务,ubuntu卸载程序异常,ubuntu安装程序报错,/usr/bin/dpkg returned an error code (1)
ufw防火墙
最新发布
04-10
### 如何使用配置 UFW 防火墙 UFW(Uncomplicated Firewall)是一个简单易用的防火墙管理工具,旨在简化 Linux 系统中的防火墙配置过程。以下是关于如何安装、配置以及管理 UFW 的详细介绍。 #### 安装 UFW 在大多数基于 Debian 和 Ubuntu 的发行版中,默认情况下已经预装了 UFW。如果没有安装,则可以通过以下命令完成安装: ```bash sudo apt update && sudo apt install ufw ``` #### 基本配置 1. **设置默认规则** 默认规则决定了未显式允许或拒绝的所有流量的行为。通常建议先设置默认规则为拒绝所有传入连接并允许所有传出连接。 ```bash sudo ufw default deny incoming sudo ufw default allow outgoing ``` 2. **启用 UFW** 在应用任何规则前,需要启动 UFW 并使其生效。 ```bash sudo ufw enable ``` 如果希望查看当前状态可以运行 `sudo ufw status`[^2]。 3. **放行特定端口和服务** 可以为某些服务或者端口号创建例外规则。例如,为了开放 SSH 连接以便远程登录到服务器: ```bash sudo ufw allow ssh ``` 或者指定具体的 TCP/UDP 端口范围: ```bash sudo ufw allow 80/tcp # 允许 HTTP 流量 sudo ufw allow 443 # 自动识别 HTTPS 协议 sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp # 仅限局域网内的SSH访问 ``` 4. **删除现有规则** 若要移除某条规则,可重新执行相同的命令加上参数 `delete`: ```bash sudo ufw delete allow ssh ``` 5. **高级功能** - 对于更复杂的需求比如限制 IP 地址段之间的通信,也可以利用 CIDR 表达法实现精细控制。 ```bash sudo ufw allow from 172.17.150.0/24 # 批准来自该子网的所有请求 ``` - 若需支持 ICMP 请求(即 ping),则添加如下指令即可: ```bash sudo ufw allow icmp ``` #### 查看与调试 - 使用 `sudo ufw status verbose` 来获取详细的防火墙状态报告,这有助于诊断潜在问题[^3]。 #### 特殊场景下的调整 当部署 Web 应用程序时,可能还需要额外考虑数据库或其他内部组件的安全性。下面给出一个针对 LAMP (Linux, Apache, MySQL/MariaDB, PHP) 架构的例子: 1. 开启必要的外部入口点: ```bash sudo ufw allow http # Apache web server listens on this protocol by default. sudo ufw allow https # Secure version of the above service. ``` 2. 调整本地资源交互权限: ```sql GRANT ALL PRIVILEGES ON *.* TO 'db_user'@'localhost'; -- Ensure only localhost can connect directly into DBMS without exposing it publicly over network interfaces unless absolutely required otherwise! FLUSH PRIVILEGES; ``` 最后记得再次确认整体安全性状况并通过实际测试验证预期效果是否达成目标! --- 问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值