linux 防火墙_Linux 防火墙 ufw 简介 | Linux 中国

最新推荐文章于 2024-06-18 13:59:13 发布
最新推荐文章于 2024-06-18 13:59:13 发布
阅读量159 收藏
点赞数
文章标签: linux 防火墙 linux防火墙
148fffa08fab07f186f750a75c7ef4ab.png我们来研究下 Linux 上的 ufw(简单防火墙),为你更改防火墙提供一些见解和命令。-- Sandra Henry-stocker

ufw(简单防火墙(Uncomplicated FireWall))真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单,这对新管理员来说是一个福音,否则他们可能需要投入大量时间来学习防火墙管理。

ufw 也有 GUI 客户端(例如 gufw),但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令,并研究了它的工作方式。

首先,快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置,使用 grep 来抑制了空行和注释(以 # 开头的行)的显示。

$ grep -v '^#\|^$' /etc/default/ufwIPV6=yesDEFAULT_INPUT_POLICY="DROP"DEFAULT_OUTPUT_POLICY="ACCEPT"DEFAULT_FORWARD_POLICY="DROP"DEFAULT_APPLICATION_POLICY="SKIP"MANAGE_BUILTINS=noIPT_SYSCTL=/etc/ufw/sysctl.confIPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

正如你所看到的,默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。

ufw 命令的基本语法如下所示,但是这个概要并不意味着你只需要输入 ufw 就行,而是一个告诉你需要哪些参数的快速提示。

ufw [--dry-run] [options] [rule syntax]

--dry-run 选项意味着 ufw 不会运行你指定的命令,但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集,因此你要做有好多行输出的准备。

要检查 ufw 的状态,请运行以下命令。注意,即使是这个命令也需要使用 sudo 或 root 账户。

$ sudo ufw statusStatus: activeTo Action From-- ------ ----22 ALLOW 192.168.0.0/249090 ALLOW Anywhere9090 (v6) ALLOW Anywhere (v6)

否则,你会看到以下内容:

$ ufw statusERROR: You need to be root to run this script

加上 verbose 选项会提供一些其它细节:

$ sudo ufw status verboseStatus: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skipTo Action From-- ------ ----22 ALLOW IN 192.168.0.0/249090 ALLOW IN Anywhere9090 (v6) ALLOW IN Anywhere (v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接:

$ sudo ufw allow 80 <== 允许 http 访问$ sudo ufw deny 25 <== 拒绝 smtp 访问

你可以查看 /etc/services 文件来找到端口号和服务名称之间的联系。

$ grep 80/ /etc/serviceshttp 80/tcp www # WorldWideWeb HTTPsocks 1080/tcp # socks proxy serversocks 1080/udphttp-alt 8080/tcp webcache # WWW caching servicehttp-alt 8080/udpamanda 10080/tcp # amanda backup servicesamanda 10080/udpcanna 5680/tcp # cannaserver

或者,你可以命令中直接使用服务的名称。

$ sudo ufw allow httpRule addedRule added (v6)$ sudo ufw allow httpsRule addedRule added (v6)

进行更改后,你应该再次检查状态来查看是否生效:

$ sudo ufw statusStatus: activeTo Action From-- ------ ----22 ALLOW 192.168.0.0/249090 ALLOW Anywhere80/tcp ALLOW Anywhere <==443/tcp ALLOW Anywhere <==9090 (v6) ALLOW Anywhere (v6)80/tcp (v6) ALLOW Anywhere (v6) <==443/tcp (v6) ALLOW Anywhere (v6) <==

ufw 遵循的规则存储在 /etc/ufw 目录中。注意,你需要 root 用户访问权限才能查看这些文件,每个文件都包含大量规则。

$ ls -ltr /etc/ufwtotal 48-rw-r--r-- 1 root root 1391 Aug 15 2017 sysctl.conf-rw-r----- 1 root root 1004 Aug 17 2017 after.rules-rw-r----- 1 root root 915 Aug 17 2017 after6.rules-rw-r----- 1 root root 1130 Jan 5 2018 before.init-rw-r----- 1 root root 1126 Jan 5 2018 after.init-rw-r----- 1 root root 2537 Mar 25 2019 before.rules-rw-r----- 1 root root 6700 Mar 25 2019 before6.rulesdrwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d-rw-r--r-- 1 root root 313 Mar 18 17:30 ufw.conf-rw-r----- 1 root root 1711 Mar 19 10:42 user.rules-rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules

本文前面所作的更改,为 http 访问添加了端口 80 和为 https 访问添加了端口 443,在 user.rules 和 user6.rules 文件中看起来像这样:

# grep " 80 " user*.rulesuser6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPTuser.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPTYou have new mail in /var/mail/root# grep 443 user*.rulesuser6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPTuser.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT

使用 ufw,你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接:

$ sudo ufw deny from 208.176.0.50Rule added

status 命令将显示更改:

$ sudo ufw status verboseStatus: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skipTo Action From-- ------ ----22 ALLOW IN 192.168.0.0/249090 ALLOW IN Anywhere80/tcp ALLOW IN Anywhere443/tcp ALLOW IN AnywhereAnywhere DENY IN 208.176.0.50 <== new9090 (v6) ALLOW IN Anywhere (v6)80/tcp (v6) ALLOW IN Anywhere (v6)443/tcp (v6) ALLOW IN Anywhere (v6)

总而言之,ufw 不仅容易配置,而且且容易理解。

via: https://www.networkworld.com/article/3533551/linux-firewall-basics-with-ufw.html

作者:Sandra Henry-Stocker 选题:lujun9972 译者:MjSeven 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

68fe653f-1323-eb11-8da9-e4434bdf6706.svg
weixin_39857792
关注
山石防火墙命令[借鉴].pdf
10-14
山石防火墙命令[借鉴].pdf
山石sg6000e1700配置手册_Hillstone常用配置命令整理
weixin_39736650的博客
12-18 5952
egate1.301:在聚合端口上创建子端口。子端口同时也就是vlan号,注意:子端口的MAC同父端口int eth0/0 :在配置模式下,进入接口配置子项,此处也更象Cisco,而不象ScreenOS在一条命令里配置完aggregate aggregate1:将eth0/0添加到聚合端口1中,注意:进入聚合的物理端口应不属于其他端口及任何安全域。int eth0/0.1:创建eth0/0下的子端...
Linux UFW防火墙设置、案例教程及注意事项
最新发布
sjxgghg的博客
06-18 703
UFW 防火墙管理工具,本文将详细介绍如何使用UFW进行防火墙设置,并通过案例教程展示其用法,同时指出一些使用UFW时需要注意的事项。远程连接服务器时,发现SSH远程登录服务器失败,但是又可以Ping通,故服务器是开启的。
山石网科Hillstone防火墙基础上网配置_CLI命令行(最新版)
路与肥的博客
04-25 9711
山石网科Hillstone防火墙安全网关基础上网基础网络配置_CLI命令行(最新版)
Linux防火墙】网络ip和端口管理
黎明总是如期而至
10-12 5009
本博客使用的系统为Ubuntu系统。
山石防火墙命令查看配置_hillstone 防火墙基本配置
weixin_40006133的博客
12-20 7632
WEB是中文的,懂点理论都能配出来下面是命令行的configadmin user hillstonepasswordhillstoneinterface ethernet0/0 (E0/0是出口,定义为untrust 区域)zone "untrust"ip address 172.18.26.78 255.255.255.252manage...
Linux 中的防火墙 ufw 简介
09-14
ufw(简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。这篇文章主要介绍了Linux 防火墙 ufw 简介,需要的朋友可以参考下
ufw命令 – 管理netfilter防火墙 — 命令大集合
09-18
ufw程序用于管理Linux防火墙,旨在为用户提供易于使用的界面。 Linux原始的防火墙工具iptables由于过于繁琐,所以ubuntu系统默认提供了一个基于iptables之上的防火墙工具ufw。而UFW支持图形界面操作,只需在命令行...
Linux_web.rar_linux wEB_web服务器
09-14
使用`ufw`或`iptables`设置防火墙规则,只允许必要的端口访问。同时,定期更新服务器软件,防范安全漏洞。 9. **监控与维护**:监控Web服务器的状态非常重要。可以使用工具如`top`、`htop`、`iftop`检查资源使用...
linux利用CSF防火墙屏蔽恶意请求
01-20
之前的方法已经没有用了,想了半天还是研究研究防火墙吧,虽然仅仅靠Apache也能对某些IP进行黑名单设置,但是感觉还是有点麻烦的。比如最常见的用iptables,或者是ufw,虽然都能很好的做到管理,但是他们基本都需要...
山石防火墙命令查看配置_hillstone防火墙配置实例介绍
weixin_36031812的博客
12-30 2188
目录一.基本情况介绍............................................................................21.车管所机房情况:.........................................................................................................
山石网科SG-6000_X系列硬件参考指南
07-11
山石网科防火墙设备硬件描述,设备板卡描述,能够清晰了解设备。
防火墙命令所有配置自己的配置
03-20
防火墙命令防火墙命令防火墙命令防火墙命令防火墙命令防火墙命令防火墙命令防火墙命令
山石防火墙命令查看配置_山石防火墙HA配置说明
weixin_39602579的博客
12-20 3614
使用高可靠性功能,用户需要按照以下步骤进行配置:配置HA组的接口。配置HA连接。包括HA连接接口和连接接口IP的配置。用于设备同步以及传输HA报文。对于X系列其他平台,仅支持将SG-6000-X7180设备的IOM-2Q8SFP+ -200模块卡的接口指定为HA连接接口,其他模块卡接口不支持该功能。配置HA簇。为设备指定HA簇ID,并且开启设备的HA功能。配置HA组。HA组的配置包括指定设备优先级...
山石防火墙简单配置
qq_48257021的博客
01-31 2524
安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI 同时支持Console、Telnet、SSH 等主流通信管理协议。1、Web 方式登录安全网关系统,依次选择“系统”→“配置文件管理”→“配置文件列表”→“备份恢复”勾选“立即重启,使新版本生效”,然后点击“应用” 重启设备,系统将使用新的StoneOS 启动。登录设备后,依次点击“系统”→“升级管理”→“浏览”,选择本地保存的 StoneOS 文件。2、点击“恢复”---确定。
山石网科防火墙DNAT常见问题基础排查
qq_41919868的博客
03-05 4929
山石网科防火墙DNAT常见问题基础排查
firewall常用命令
鲁凯啸的得瑟窝
07-08 392
常用命令介绍 firewall-cmd --add-port=80/tcp --permanent firewall-cmd --reload
山石防火墙配置命令
qq_36986855的博客
03-04 5376
telnet进管理ip,show snat re看tcp发包率 configure 进管理员配置项 expanded-port-pool 扩展端口数
山石防火墙命令查看配置_山石防火墙网络配置
weixin_39583029的博客
12-20 4497
1、两个公网IP,AB局域网带宽各自使用自己的带宽2、AB局域网,不同IP段3、AB局域网可以相互访问4、AB局域网指定各自的规则5、AB局域网使用同一个网关1、配置IPA局域内外网接口第一个接口为ethernet0/0,公网IP:1.1.1.1/28,第二个接口为ethernet0/1,内网IP:192.168.1.1/24,B局域内外网接口第三个接口为ethernet0/2,公网IP:2.2....
Linux防火墙详解:网络接口与阻塞策略
Linux防火墙Linux系统中一个重要的安全组件,它在保护系统免受未经授权的访问和恶意流量攻击方面发挥着核心作用。本文档详尽介绍了Linux在网络接口层面实施的防火墙规则和策略,涵盖了从基本原理到高级配置的各个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值