关于UFW防火墙应用小结

已于 2022-04-02 22:09:26 修改
阅读量6.6k 收藏 19
点赞数 1
分类专栏: linux 文章标签: ubuntu linux
于 2021-09-12 14:12:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27546717/article/details/120249408
版权

简介

LInux原始的防火墙工具iptables由于过于繁琐,所以ubuntu系统默认提供了一个基于iptable之上的防火墙工具ufw。而UFW支持图形界面操作,只需在命令行运行ufw命令即能看到一系列的操作
UFW 全称为Uncomplicated Firewall,是Ubuntu 系统上默认的防火墙组件, 为了轻量化配置iptables 而开发的一款工具。 UFW 提供一个非常友好的界面用于创建基于IPV4,IPV6的防火墙规则。
  Linux 2.4内核以后提供了一个非常优秀的防火墙工具:netfilter/iptables,他免费且功能强大,可以对流入、流出的信息进行细化控制,它可以 实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。
但是iptables的规则稍微有些“复杂”,因此ubuntu提供了ufw这个设定工具,以简化iptables的某些设定,其后台仍然是 iptables。ufw 即uncomplicated firewall的简称,一些复杂的设定还是要去iptables。(ufw还有图形化的Gufw)

安装部署

apt install ufw  #安装

apt install gufw     #安装图形化ufw

ufw enable          #启用ufw

ufw disable         #禁用

ufw的配置文件

ufw相关的文件和文件夹有:
  /etc /ufw/:里面是一些ufw的环境设定文件,如 before.rules、after.rules、sysctl.conf、ufw.conf,及 for ip6 的 before6.rule 及 after6.rules。这些文件一般按照默认的设置进行就ok。
  若开启ufw之 后,/etc/ufw/sysctl.conf会覆盖默认的/etc/sysctl.conf文件,若你原来的/etc/sysctl.conf做了修 改,启动ufw后,若/etc/ufw/sysctl.conf中有新赋值,则会覆盖/etc/sysctl.conf的,否则还以/etc /sysctl.conf为准。当然你可以通过修改/etc/default/ufw中的“IPT_SYSCTL=”条目来设置使用哪个 sysctrl.conf.
  /var/lib/ufw/user.rules 这个文件中是我们设置的一些防火墙规则,打开大概就能看明白,有时我们可以直接修改这个文件,不用使用命令来设定。修改后记得ufw reload重启ufw使得新规则生效。

 ls   /etc /ufw/
 vim  /etc/ufw/sysctl.conf

安装后,ufw不启动,默认策略:进入数据拒绝,转发拒绝,发出数据允许。默认策略跟踪进入\转发的新连接。除此外还增加了下列默认规则集:

- DROP packets with RH0 headers

丢弃含RH0头的数据

- DROP INVALID packets

丢弃无效数据

 - ACCEPT certain icmp packets (INPUT and FORWARD): destination-unreach‐
       able, source-quench, time-exceeded, parameter-problem, and echo-request
       for IPv4. destination-unreachable, packet-too-big,  time-exceeded,  pa‐ rameter-problem, and echo-request for IPv6.

ufw的默认的规则

进入数据拒绝
	
转发拒接
   
发出数据允许
  
默认策略跟踪进入,转发的新链接

除此之外还增加了以下默认规则集:
 	DROP packgets with RHO headers
 	丢弃RHO头的数据
 	DROP INVALID packgets
 	丢弃无效数据
 	ACCPEPT certain icmp packgets (INPUT and FORWARD)
 	允许icmp的输入和转发

基本语法和示例

允许和拒绝(特定规则)

(1)允许
# ufw allow <端口> / <可选:协议>
示例:允许在端口53上传入tcp和udp数据包

# ufw  allow  53

示例:允许端口53上的传入tcp数据包

# ufw  allow   53/tcp

示例:允许端口53上的传入udp数据包

# ufw  allow  53/udp

(2)拒绝

# ufw deny <端口> / <可选:协议>
示例:拒绝端口53上的tcp和udp数据包

# ufw deny 53

示例:拒绝端口53上的传入tcp数据包

# ufw deny  53/tcp

示例:拒绝端口53上的传入udp数据包

# ufw deny  53/udp

删除现有规则
要删除规则,只需在原始规则前面加上delete。例如,如果原始规则是:

# ufw deny 80/tcp

使用它删除它:

#  ufw  delete  deny 80/tcp

通过服务名,设置规则
您也可以按服务名称允许或拒绝,因为ufw从/ etc / services中读取 要查看获取服务表:
按服务名称允许

# ufw allow <服务名称>
示例:按名称允许ssh

# ufw allow ssh

按服务名称拒绝
# ufw deny <服务名称>
示例:按名称拒绝ssh

# ufw deny   ssh

服务状态
检查ufw的状态将告诉您ufw是启用还是禁用,并且还列出了应用于iptables的当前ufw规则。
要检查ufw的状态:

# ufw status
Status: active
Logging: on (low)         //有效正在登录:(低)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip     //默认值:拒绝(传入),允许(传出)新的个人资料:跳过用户

To                         Action      From
--                         ------      ----
22                         ALLOW IN    Anywhere       
53                         DENY IN     Anywhere
22                         ALLOW IN    192.168.200.20

如果未启用ufw,则输出为:

# ufw status

Status: inactive

要启用日志记录,请使用:

#  ufw logging on

要禁用日志记录,请使用:

#  ufw   logging   off

高级语法

还可以使用更完整的语法,指定源和目标地址,端口和协议。
语法格式:
在这里插入图片描述
在这里插入图片描述
例如:

ufw route allow in on eth0 out eth1 to 172.16.0.0/24 from 192.168.1.0/24

高级ufw防火墙规则编写

允许访问
在这里插入图片描述
(1)允许子网
在这里插入图片描述
(2)允许特定端口的ip地址访问
在这里插入图片描述
例如:

ufw allow from 192.168.1.1 to any port 22

(3)允许通过特定端口,ip地址,协议访问
在这里插入图片描述
例如:

root@fff-PC:~# ufw allow from 192.168.58.102 to any port 22 proto tcp

(4)允许ping或者禁止ping

如果要禁止ping则,编辑 vim /etc/ufw/before.rules 文件,删除一下几项

root@fff-PC:~# cat  /etc/ufw/before.rules | grep icmp
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

或者修改为“丢弃”
在这里插入图片描述

拒接访问
(1)拒绝指定ip地址访问
在这里插入图片描述
例如:

root@fff-PC:~# ufw deny from 10.0.0.1 
Rule added
root@fff-PC:~# ufw status 
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere                  
22/tcp                     ALLOW       192.168.58.102            
Anywhere                   DENY        10.0.0.1                  
22 (v6)                    ALLOW       Anywhere (v6)

(2)拒绝某个ip地址访问指定端口
在这里插入图片描述
例如:

root@fff-PC:~# ufw deny from 10.0.0.1 to any port 8888
Rule added
root@fff-PC:~# ufw status 
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere                  
22/tcp                     ALLOW       192.168.58.102            
Anywhere                   DENY        10.0.0.1                  
Anywhere                   DENY        10.0.0.1 8888             
8888                       DENY        10.0.0.1                  
22 (v6)                    ALLOW       Anywhere (v6)

(3)使用编号规则
在这里插入图片描述
例如:

root@fff-PC:~# ufw status numbered 
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere                  
[ 2] 22/tcp                     ALLOW IN    192.168.58.102            
[ 3] Anywhere                   DENY IN     10.0.0.1                  
[ 4] Anywhere                   DENY IN     10.0.0.1 8888             
[ 5] 8888                       DENY IN     10.0.0.1                  
[ 6] 22 (v6)                    ALLOW IN    Anywhere (v6)             

root@fff-PC:~# ufw delete 4
Deleting:
 deny from 10.0.0.1 port 8888
Proceed with operation (y|n)? y
Rule deleted
root@fff-PC:~# ufw status numbered 
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere                  
[ 2] 22/tcp                     ALLOW IN    192.168.58.102            
[ 3] Anywhere                   DENY IN     10.0.0.1                  
[ 4] 8888                       DENY IN     10.0.0.1                  
[ 5] 22 (v6)                    ALLOW IN    Anywhere (v6)             

root@fff-PC:~#

应用程序配置文件命令
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
防火墙规则优化
随着设置规则的增加,可能会产生许多相互矛盾的规则,应及时的调整和修改。
而且规则编号也会跟着变动。

ufw日志功能
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

黄金大师傅
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu-防火墙UFW)配置
流月0的博客
06-12 2445
个人技术博客地址:http://songmingyao.com/ Ubuntu-防火墙UFW)配置
Ubuntuufw 的安装 启动 关闭 重启 禁止主机访问icmp和ftp? 如何禁止主机访问虚拟机上所有端口
宾宾宝宝的博客
11-22 4296
检查是否安装了UFW sudo dpkg --get-selections | grep ufw 显示已经安装 如果没有安装的同学,可以先安装一下 sudo apt-get install ufw 可以查看一下自己的ufw是否运行 sudo ufw status 如果你发现状态是: inactive , 意思是没有被激活或不起作用。 如果要禁用的话,使用命令 sudo ufw disable [–dry–run] 只显示结果而不实际运行 如何启动/关闭/重启ufw 启动防火墙 sudo uf
UFW防火墙详解
执笔阑珊的博客
01-17 2481
UFW防火墙常用命令
防火墙 ufw 的操作命令:启动、停止、禁用、开放端口、关闭端口
最新发布
qq_38382365的博客
08-03 1023
Ubuntu是一款流行的Linux操作系统,默认情况下,Ubuntu附带了一个名为Uncomplicated Firewall(简称UFW)的防火墙工具。UFW旨在提供一个简单易用的命令行界面来管理iptables的复杂规则,从而使防火墙配置变得更加容易。UFW可以控制入站和出站的流量,可以配置规则来允许或拒绝特定的网络流量,确保系统的安全性。本文将详细介绍如何使用UFW命令来配置和管理Ubuntu防火墙
UFWUbuntu firewall)
学徒人生
04-29 1697
此程序(ufw)是为了使linux防火墙更易于使用和管理。(通常已默认安装) ufw与其它linux防火墙一样,使用iptable作为后台。 安装方法:  sudo apt-get install ufw 用法(复述中文含意) []是代表可选内容。可能需要root权限,如无法运行,请使用 sudo ufw……的命令结构。“”中的内容不能照抄,要按需要更改。  ufw
UFW 要点:常见防火墙规则和命令
一起学习一起进步~
01-04 3149
UFW(uncomplicated fire wall)是一个运行在iptables之上的防火墙配置工具,默认包含在 Ubuntu 发行版中。它提供了一个简化的界面,用于通过命令行配置常见的防火墙用例。 下来将说明常见 UFW 使用案例和命令的快速参考,包括如何按端口、网络接口和源 IP 地址允许和阻止服务的示例。
UFW、firewall、iptables防火墙配置
呐喊的专栏
06-27 1066
常见的linux系统防火墙有:UFW、firewall、iptables,其中,UFW是Debian系列的默认防火墙, firewall 是红帽系列7及以上的防火墙(如CentOS7.x),iptables是红帽系列6及以下(如CentOS6.x)的防火墙。 废话不多说,直接上示例: ufw防火墙配置示例: #!/bin/bash # Check if user is root if [ $(id -u) != "0" ]; then echo "Error: You must be ro
Ufw使用指南
狂奔的蜗牛专栏
03-26 1830
== 描述 == 此程序(ufw)是为了使linux防火墙更易于使用和管理。(通常已默认安装) ufw与其它linux防火墙一样,使用iptable作为后台。 安装方法:   sudo apt-get install ufw == 用法(复述中文含意) == []是代表可选内容。可能需要root权限,如无法运行,请使用 sudo ufw……的命令结构。“”中的内容不能
防火墙管理入门:Firewalld 与 UFW
weixin_56175042的博客
01-10 1700
firewalld 与 ufw的区别与联系,以及相关的命令,查询状态、开启、关闭、永久关闭等
MySQL数据库设置远程访问权限方法小结
09-10
如果你的服务器运行着防火墙,如iptables或ufw,你需要打开3306端口(MySQL的默认端口)以允许外部访问。这通常通过添加相应的防火墙规则来完成。 3. **创建或更新用户权限**: 接下来,我们需要在MySQL中为特定...
ubuntu下apache服务器操作方法小结
09-15
Ubuntu操作系统中,Apache HTTP Server(通常简称为Apache)是一个广泛应用的开源Web服务器,它提供了在互联网上发布静态和动态内容的功能。以下是对在Ubuntu环境下配置和管理Apache服务器的详细步骤和知识点的...
ubuntu 禁止外部ping和允许ping方法
01-09
一、前言 在日常网络服务器的维护和使用过程中,ping命令是最为常用的一个检测命令,它所使用的是ICMP协议。但是为了保护主机,很多时候我们需要禁止ICMP协议,即禁止用户ping操作,在这种情况下,终端再使用ping命令检测,服务器是不会再做出任何响应。 Linux默认是允许Ping响应的,系统是否允许Ping由2个因素决定的: A、内核参数 B、防火墙 需要这2个因素同时允许才能允许Ping,2个因素有任意一个禁Ping就无法Ping。 二、禁止Ping方法 方法1 通过sys配置禁止ping echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Linux使用小结
07-20
### Linux使用小结 #### 一、安装中文输入法 1. **进入命令形式的客户端:** 首先确保已经登录到Linux系统的命令行界面。 2. **切换至root用户:** 输入 `su root` 并按Enter键,根据提示输入root用户的密码。 3. ...
window用ssh连接本机虚拟机中的ubuntu.docx
07-13
7. 小结 通过本文的指导,我们已经成功地使用 SSH 连接了 Window 主机和 Ubuntu 虚拟机。SSH 连接提供了一种安全的远程访问方式,能够满足我们的需求。 知识点总结 * SSH 连接的基本原理 * 如何配置虚拟机的 IP ...
使用RD Client来远程桌面(cell-coder)
fire_for_you的博客
11-14 1万+
使用RD Client来远程桌面 可能你会觉得奇怪,team viewer和向日葵之类的难道不香吗?看起来他们两个都是实现了远程桌面的功能,好像没必要特地用Windows自带的RD Client进行内网穿透之后远程桌面。 实际上team viewer之类的在我的使用范围内不是特别好用,先列举出几条我觉得不好的地方: 速度慢,画面卡,经常会卡顿。这里是免费版的体验,付费的没试过毕竟还是有点贵 远程桌面的原理是通过大量截图再发送到服务器再传到远程端,带宽占用极大 如果使用安卓平板或者iPad进行远程连接,那蓝
开启UFW防火墙
jekc2008的专栏
04-15 631
1、查看状态、规则、规则编号、应用支持。
ubuntuufw详解--防火墙
热门推荐
BigData_Mining的博客
06-14 4万+
LInux原始的防火墙工具iptables由于过于繁琐,所以ubuntu系统默认提供了一个基于iptable之上的防火墙工具ufw。而UFW支持图形界面操作,只需在命令行运行ufw命令即能看到一系列的操作。接下来,就由专业运营香港服务器、美国服务器、韩国服务器等国外服务器的天下数据为大家介绍ubuntu系统防火墙的开启、关闭等常规操作命令。sudo ufw version防火墙版本:  ufw 0...
ufw的基本使用
qq_45928255的博客
01-22 1万+
使用ufw防火墙进行简单的设置。
ubuntu ufw 配置
fox_wayen的博客
06-02 6296
ufw默认是没有启用的。也就是说, ubuntu中的端口默认都是开放的。使用如下命令启动ufw: $sudo ufw default deny $sudo ufw enable 1 安装防火墙 Ubuntu防火墙默认已安装,若无意中卸载,执行以下命令安装 sudo apt-get install ufw #安装 2 启动、禁用、重置UFW sudo ufw enable...
UFW防火墙管理:命令详解与实战指南
"ufw命令是用于管理Linux防火墙的程序,它作为iptables的简化接口,为用户提供了一个用户友好的界面,同时支持IPv4和IPv6。UFW尤其适合对防火墙概念不熟悉的初学者,因为它简化了复杂的iptables命令。在Ubuntu和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值