linux防火墙配置与管理2
ufw防火墙简介
我们在工作中使用防火墙保护服务器的网络服务,实际上是通过防火墙来拒绝对服务器的访问。iptable 工具根据系统管理员编写的一系列规则筛选网络数据包对于初学者来说,iptable 比较复杂,Ubuntu Server 使用名为 Uncomplicated FireWall(UFW)的防火墙,是Ubuntu系统上配置iptable防火墙的工具这实际上是一个 iptable 的ufw提供一个非常友好的界面用于创建基于IPV4IPV6的防火墙规则iptable的最常用或主要的一部份功能,不能全部代替iptable。
Ufw的安装与使用
此程序(ufw)是为了使linux防火墙更易于使用和管理,ufw与其它linux类防火墙一样,使用iptable作为后台。
安装方法:
Ubuntu server通常已默认安装。 要手动安装使用命令:
sudo apt-get install ufw
基本用法Basic Syntax[]是代表可选内容。可能需要root权限,如无法运行,请使用 sudo ufw……的命令结构。
--dry-run表示不实际运行,只是把涉及的更改显示出来。
--version 显示程序版本号
-h , --help 显示帮助信息
方向是指:向内(incoming)|向外(outgoing)。如果更改了默认策略,一些已经存在的规则可能需要手动修改。
“级别”有好几个,默认是低级(low)。
复位
ufw reset [--force]
关闭防火墙,并复位至初始安装状态。如果使用--force选项,则忽略确认提示。
显示工作状态
ufw status
ufw [--dry-run] status [verbose|numbered]
显示防火墙的状态和已经设定的规则。使用status verbose显示更详细的信息,使用status numbered显示被编号的规则ufw [--dry-run] show REPORT
显示防火墙运行信息。
ufw的报告是基于系统。使用形式是iptable格式:
?raw
完整报告,下面是该报告的细选。
?builtins
?before-rules
?user-rules
?logging-rules
?listening
显示系统对tcp的监听和udp的开放状态。同时显示被监听端口的地址。如果地址变为“*”,说明该端口对所有地址开放。接下来是显示可能影响该端口的规则。
网络应用的配置文件命令
sudo ufw app list
列出系统当前的网络应用的配置文件
sudo ufw app info profile
显示某一个配置文件的信息,例如:sudo ufw app info Samba
定义访问规则允许或拒绝某个网络服务
简单命令:
ufw allow|deny [service|port number]
设置防火墙对网络服务或某端口的访问状态,允许还是拒绝。
例如:
允许samba访问
sudo ufw allow Samba
允许 53 端口
$ sudo ufw allow 53
禁用 53 端口
$ sudo ufw delete allow 53
复杂命令:
ufw [--dry-run] [delete] [insert NUM] allow|deny|reject|limit [in|out][log|log-all] PORT[/protocol]
命令[--试运行][删除] [插到“x号规则”之前] 允许|阻止|拒绝|限制 [进|出] [记录新连接|记录所有数据包] “端口” [/“协议”]
ufw [--dry-run] [delete] [insert NUM] allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]] [to ADDRESS [port PORT]]
命令 [--试运行][删除][插到x号规则之前] 允许|阻止|拒绝|限制 [进|出 基于“什么网络设备”] [协议 “协议”] [来源 “地址” [端口 “端口”]] [目标 “地址” [端口 “端口”]]
删除访问规则
ufw [--dry-run] delete NUM
命令[--试运行] 删除 “第X号规则”
也可以删除某个规则,输入:sudo delete [rule]
例如:
添加一条规则:sudo ufw allow 22
接着在刚才的规则前插入规则:sudo ufw insert 1 allow 80