麒麟系统 UFW 操作文档

麒麟系统 UFW 操作文档

1. UFW 介绍

ufw（简单防火墙 Uncomplicated FireWall）真正地简化了 iptables，虽然 ufw 的底层依 然会调用 iptables，但是配置防火墙规则时操作更加方便，命令更加简洁，本文档主要介绍 ufw 在银河麒麟系统中的常见操作。

2. 安装 ufw 服务

在银河麒麟系统中可以使用命令“dpkg -l |grep ufw”检查系统中是否安装了 ufw 软件包。 看到软装包状态是“ii”状态则代表已经安装，在银河麒麟系统中默认已经安装了 ufw 服 务，如果遇到没有安装 ufw 服务的情况可以配置光盘源进行安装，安装命令为：“apt-get install ufw”。

3. 启用 ufw 服务

启用 ufw 有特定的命令，直接执行“ufw enable”即可启用，执行“ufw disable”禁用。 在使用 ufw 前必须确保已经启用 ufw,否则配置的规则将无法通过 ufw 命令进行查看。

4. 修改默认规则

在 iptables 中默认规则是指 filter 表中的 INPUT、OUTPUT、FORWARD 三条链的规则， 使用 ufw 服务可以设置 iptables 中 INPUT、OUTPUT、FORWARD 三条链的默认规则，当启 用 ufw 后自动设置 INPUT、OUTPUT 默认规则为 DROP 状态，FORWARD 为 ACCEPT 状态。 启用 ufw 后通过 iptables 可以查看默认规则：

当然也可以通过命令修改默认规则： “ufw default allow”设置默认规则为 ACCEPT 全部放行状态。 “ufw default deny”设置默认规则为 DROP 丢弃状态，当执行完此条命令后。防火墙在系 统启动时自动开启，关闭所有外部对本机的访问，但本机访问外部正常。

5. 开启或禁用端口与协议（服务）

开启或禁用协议的方法：“ufw allow|deny [service]”

开启 snmp 协议：“ufw allow snmp”

开启 ssh 协议：“ufw allow 22/tcp”或“ufw allow ssh”

开启 3306 端口： 禁用 tcp 和 udp 的 80 端口：

禁用 nfs 协议：

注：可以开启或禁用的服务列表可执行命令：“cat /etc/services”进行查看。

6. 特定规则配置

允许特定源 IP 访问： “ufw allow from 192.168.253.155”

限制访问特定目的 IP： “ufw deny to 192.168.253.158”

同时限定源 IP 和目的 IP:“ufw allow from 192.168.0.100 to 192.168.0.200”

指定出入口过滤，用户可以使用 in 或 out 来指定向内还是向外。如果未指定，默认是 in。 允许 htpp 协议进入：“ufw allow in http” 拒绝发出 snmp 协议报文：“ufw reject out smtp” 阻止向 192.168.1.1 发送消息：“ufw deny out to 192.168.1.1”

同时限定协议、端口、IP：“ufw allow proto udp from 192.168.0.1 port 53 to 192.168.0.2 port 53”

允许特定网段访问:“ufw allow proto tcp from 220.181.108.0/24 to any port 4”

指定端口范围添加规则：

允许来自任意址使用 tcp 协议指向任意地址使用端口 80、443、8080-8090 的数据进入 本机：“ufw allow proto tcp from any to any port 80,443,8080:8090”

7. 插入规则

插入规则时需要指定 ID 编号。

在第一条插入规则“allow to any port 8080”:“ufw insert 1 allow to any port 8080”

8. 删除规则

删除规则时可以指定编号或直接删除使用过的规则。

直接删除规则：删除“开启 ssh 协议”规则：“ufw delete allow ssh”

指定 ID 编号删除规则。

删除第一条规则：“ufw delete 1”

9. 其他命令

其他命令及更详细的用法可以参考 man 手册，执行“man 8 ufw”即可获取，也可参考链 接中的博客进行学习 ufw 防火墙配置命令。