ubuntu ufw(UncomplicatedFirewall)防火墙使用简介

已于 2022-06-10 14:14:24 修改
阅读量7.9k 收藏 10
点赞数 2
分类专栏: 运维 文章标签: ubuntu 服务器 安全 运维 网络
于 2022-04-16 17:10:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43863487/article/details/124216099
版权

ubuntu ufw(UncomplicatedFirewall)防火墙使用简介

简介

从名字Uncomplicated(简单的,不混乱的)就可以看出,ufw的目的是提供一个简单、易用的防火墙工具。
ubuntu系统的Linux内核提供了一个名为netfilter的网络包过滤系统,控制netfilter的传统接口工具是iptables命令工具。iptables提供了一个既高可配置有高度灵活的完整的防火墙解决方案。

但是想要熟练iptables命令需要花费较长的时间,而且仅使用iptables来开始学习netfilter是一个艰难的任务。因此,近年来出现了很多iptables的前端工具(frontends for iptables),每个工具实现的结果和面向的用户都不相同。

ufw也是一个iptables的前端工具,并且是一个特别适合于主机(host-based)的防火墙。ufw提供了一套管理netfilter的框架,和一个控制防火墙的命令行工具。ufw的目标是为不熟悉防火墙概念的用户提供一个简单易用的接口。同时也为知道自己在干甚么的管理员用户简化了iptables命令。ufw是其他系统发行版本和图形界面前端的上游。

对ubuntu系统的支持

ufw从ubuntu 8.04 LTS版本就加入了系统工具,在系统中时默认安装的。

  • Ubuntu 12.04 ESM: 0.31.1-1
  • Ubuntu 14.04 ESM: 0.34~rc-0ubuntu2
  • Ubuntu 16.04 LTS: 0.35-0ubuntu2
  • Ubuntu 18.04 LTS: 0.36-0ubuntu0.18.04.1
  • Ubuntu 20.04: 0.36-6
  • Ubuntu 21.04: 0.36-7.1
  • Ubuntu 21.10: 0.36.1-1,
  • Ubuntu Core: 0.36pre

基本使用

ufw是ubuntu默认的防火墙配置工具,但默认ufw是关闭的(disabled),因为ufw 的目的不是通过其命令接口提供完整的防火墙功能,而是提供一种简单的方法来添加或删除简单的规则。它目前主要用于基于主机的防火墙(host-based firewalls)。

ufw命令的使用比较简单,如我们想用系统仅放开ssh端口的tcp连接,需要执行以下命令:

$ ufw allow ssh/tcp # 或者ufw allow 22/tcp
$ ufw logging on  # 开启日志
$ ufw enable  # 使配置生效
$ ufw status  # 查看配置结果

Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   Anywhere

其中的allow + port称为 RULE。共有4中RULE类型,分别是:

  • allow:开放端口,允许访问。
  • deny:直接拒绝/忽略对本机某个端口的访问。
  • reject:拒绝对本机端口的访问。有时最好让发送端知道流量被拒绝了,而不是简单的忽略请求。在这些情况下,使用reject而不是deny。
  • limit:限制规则,目前只支持IPv4。ufw支持连接速率限制,这对防止暴力登录攻击非常有用。当使用限制规则时,ufw 会像往常一样允许连接,但如果一个 IP 地址试图在30秒内启动6个或更多连接,则会拒绝该连接。通常的用法是ufw limit ssh/tcp

此外,RULE中还可以指定流量方向(in/out)、使用的网卡(eth0/eth1)、使用的协议等(tcp/udp)等,详细的各种语法请查看 语法参考 或使用man ufw命令查看 RULE SYNTAX 部分。

常用命令介绍

下面简单介绍常用的命令

端口操作

  • 首先,我们要开启ufw:ufw enable
  • 打开某个端口,以SSH为例:ufw allow 22 也可以使用ufw allow ssh
  • 也可以为规则添加编号,如设置规则1为开启80端口:ufw insert 1 allow 80。要注意insert NUM只能在已经存在某些RULES时,像添加的新RULE优先级更高时插入对应的位置。在没有RULE的情况下使用会报错。
  • 关闭打开的端口,拒绝其访问:ufw deny 22。此时不是删除了允许访问22端口的规则,而是禁止访问22端口了。
  • 想要删除定义的规则:ufw delete deny 22
  • 如果想要允许某些指定的主机或网络访问一个端口,可以添加对应的主机IP。如,允许 SSH 从主机192.168.0.2访问该主机上的任何 IP 地址:ufw allow proto tcp from 192.168.0.2 to any port 22。如果将192.168.0.2改为192.168.0.0/24则允许该子网都可以通过SSH访问本机。
  • 使用--dry-run选项可以使ufw仅输出结果规则,而不实际影响本机规则。如,查看打开HTTP的规则:
    $ ufw --dry-run allow http

*filter
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-logging-deny - [0:0]
:ufw-logging-allow - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
### RULES ###

### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 22 -j ACCEPT

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 80 -j ACCEPT

### END RULES ###
...
  • 关闭ufw:ufw disable
  • 重新加载规则:ufw reload
  • 查看当前规则配置:ufw status [verbose]。使用verbose可以查看更详细的内容。
  • 查看带序号的规则状态:ufw status numbered

应用管理

除了直接对端口进行操作,ufw还可以和应用整合在一起使用。打开端口的应用程序可以包括 ufw 配置文件(profile),该配置文件详细说明了应用程序正常运行所需的端口。概要文件保存在/etc/ufw/applications.d 中,如果默认端口已经更改,则可以编辑它们。

  • 查看哪些应用程序已经使用了profile:ufw app list
  • 类似于对端口流量的操作,可以直接对应用profile进行操作:ufw allow Samba
  • 对应用profile添加扩展参数:ufw allow from 192.168.0.0/24 to any app Samba
  • 查看应用使用的端口、协议等详细信息:ufw app info Nginx

日志功能

防火墙日志对于识别攻击、故障排除防火墙规则以及注意网络上的异常活动是必不可少的。必须在防火墙中包含日志记录规则才能生成日志,而且日志记录规则必须放在任何应用关闭(terminating)规则(具有决定数据包命运的目标的规则,例如 ACCEPT、 DROP 或 REJECT)之前。

  • 打开日志功能:ufw logging on
  • 关闭日志功能:ufw logging off
    外界访问本机端口的日志信息可以通过dmesg命令进行查看。
    如一个来自本机80端口请求其日志信息类似于:
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00
SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP
SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0

完整的日志信息还可以通过/var/log/messages, /var/log/syslog/var/log/kern.log文件查看。可以通过适当编辑/etc/syblog.conf 或安装和配置 ulogd 并使用 ULOG 目标而不是 LOG 来修改此行为。ulogd 守护进程是一个用户空间服务器,它监听来自内核的防火墙日志指令,并且可以记录日志到任何你想要的文件,甚至可以写入到 PostgreSQL 或 MySQL 数据库。使用日志分析工具(如 logwatch、 fwanalog、 fwlogwatch 或 lire)可以简化防火墙日志的理解。

更多帮助信息

更多相关命令可以通过ufw --help查看

$ ufw --help

Usage: ufw COMMAND

Commands:
 enable                          enables the firewall
 disable                         disables the firewall
 default ARG                     set default policy
 logging LEVEL                   set logging to LEVEL
 allow ARGS                      add allow rule
 deny ARGS                       add deny rule
 reject ARGS                     add reject rule
 limit ARGS                      add limit rule
 delete RULE|NUM                 delete RULE
 insert NUM RULE                 insert RULE at NUM
 route RULE                      add route RULE
 route delete RULE|NUM           delete route RULE
 route insert NUM RULE           insert route RULE at NUM
 reload                          reload firewall
 reset                           reset firewall
 status                          show firewall status
 status numbered                 show firewall status as numbered list of RULES
 status verbose                  show verbose firewall status
 show ARG                        show firewall report
 version                         display version information

Application profile commands:
 app list                        list application profiles
 app info PROFILE                show information on PROFILE
 app update PROFILE              update PROFILE
 app default ARG                 set default application policy

对ufw命令的详细用法和示例可以参考:http://manpages.ubuntu.com/manpages/focal/en/man8/ufw.8.html#

专业功能

ufw可以完成所有iptables能做的事情。不过这需要通过几个规则文件的集合来实现,这些规则文件是 iptables-restore 兼容的文本文件。
微调 ufw 规则或添加ufw不提供的额外iptables规则配置,可以通过修改以下文件完成:

  • /etc/default/ufw: 高级配置,例如默认策略、 IPv6支持和要使用的内核模块。

  • /etc/ufw/before[6].rules: 该文件中的所有规则会在任何ufw命令添加的规则之前计算执行。

  • /etc/ufw/after[6].rules: 该文件中的所有规则会在任何ufw命令添加的规则之后计算执行。

  • /etc/ufw/sysctl.conf: 内核网络可调参数。

  • /var/lib/ufw/user[6].rules 或 /lib/ufw/user[6].rules (0.28 and later): ufw命令添加的规则(通常不应该手动修改)。

  • /etc/ufw/ufw.conf: 设置ufw是否在开机时自启动, and in 9.04 (ufw 0.27) and later, 设置日志的 LOGLEVEL。

  • /etc/ufw/after.init: 初始化自定义脚本在ufw初始化完成后运行 (ufw 0.34 and later)。

  • /etc/ufw/before.init: 初始化自定义脚本在 ufw 初始化之前运行 (ufw 0.34 and later)。

其中文件名后带 [6] 的文件表示IPv6配置。

每次修改完以上文件后,要想让配置生效需要执行以下命令:

$ ufw disable
$ ufw enable

不同ubuntu发行版本中的使用引导

空巢青年_rui
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu中用UFW配置防火墙.docx
10-31
Ubuntu中用UFW配置防火墙.docx
ubuntu开启/关闭防火墙
热门推荐
振华OPPO的博客世界
03-27 7万+
1、Alt+T打开终端,输入sudo ufw status回车,查看防火墙状态,inactive是关闭,active是开启。 2、使用sudo ufw enable开启防火墙。 3、使用sudo ufw disable关闭防火墙
记一次Linux-Ubuntu2204环境安装Firewalld(防火墙)导致无法远程连接的问题
小飞的学习笔记的博客
03-14 365
记录一次Linux-Ubuntu环境安装Firewalld导致无法远程连接的问题
Linux:Ubuntu安装firewalld防火墙管理工具【WSL用UFW防火墙管理工具】
u013250861的博客
01-08 2621
【代码】Linux:Ubuntu安装firewalld防火墙管理工具。
Ubuntu防火墙UFW使用介绍
whj99154562的专栏
06-20 1313
Ubuntu防火墙UFW使用介绍。
ubuntu防火墙配置_如何配置Ubuntu的内置防火墙
culiyuan8310的博客
09-22 4623
ubuntu防火墙配置Ubuntu includes its own firewall, known as ufw – short for “uncomplicated firewall.” Ufw is an easier-to-use frontend for the standard Linux iptables commands. You can even control ufw from...
Ubuntu防火墙工具UFW
m0_61629312的博客
09-23 1308
Ubuntu系统中,最常用的防火墙工具是UFW(Uncomplicated Firewall)。UFWUbuntu默认的防火墙,它简单易用,基于iptables实现。除UFW外,Ubuntu还可以安装和使用其他防火墙软件,如Gufw图形界面工具或Firewalld。但UFW使用最为广泛简单。
Ubuntuufw安装和使用
月生的静心苑
09-15 1万+
ufwUbuntu系列发行版自带的类似iptables的防火墙管理软件,底层也是基于netfilter的。ufwUncomplicated FireWall的简称,真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单,这对新管理员来说是一个福音,否则他们可能需要投入大量时间来学习防火墙管理。ufw默认关闭,开放所有端口。环境说明:如下操作命令和示例均在Ubuntu20.04系统中测试。
ubuntu防火墙ufw命令
qq_54947566的博客
04-26 7705
#常用命令 ufw version #查看版本信息 ufw enable #启用防火墙 ufw disable #禁用防火墙 ufw reload #重载防火墙 ufw reset #重新设置防火墙 (注意:这将禁用UFW并删除之前定义的任何规则) ufw verbose #查看防火墙策略 使用 最新版的UFW默认启用了IPV6配置,你也可以通过以下命令进行检查,可以看到以下输出: root
Ubuntu 防火墙设置
KIDfengKID的博客
11-22 2194
之前关于防火墙的设置搞得一头雾水,用的多了才梳理清楚,这里记录一下,用来管理防火墙的有很多工具,这里都记录一下,一般用第一种比较方便。
ubuntu 防火墙命令整理
alex1801
01-29 3737
1.2、查看防火墙firewall-cmd --list-all。1.3、更新防火墙规则:firewall-cmd --reload。1.1、查看防火墙状态:firewall-cmd --state。2.1、临时增加(reload之后消失):不需要reload。2.3、临时删除端口:reload后消失。2.4、永久删除端口:reload后生效。1、防火墙firewall-cmd命令。2.2、永久增加:reload后生效。4.4、增加服务(临时增加)4.5、删除服务(临时删除)4.1、防火墙服务的状态。
Ubuntu ufw防火墙规则顺序问题.docx
10-30
Ubuntu ufw防火墙规则顺序问题.docx
Linux 中的防火墙 ufw 简介
09-14
ufw(简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。这篇文章主要介绍了Linux 防火墙 ufw 简介,需要的朋友可以参考下
python module ufwubuntu防火墙遇到问题的包
11-23
python版本问题导致的Ubuntu防火墙ufw无法使用,将该包添加入系统目前版本的python lib中即可解决问题。
ufw防火墙ubuntu
09-19
ufw防火墙ubuntu
ubuntu的镜像源+bionic版本
m0_69253695的博客
04-27 241
查找和你自己ubuntu版本匹配的版本号。可以看到我这个版本号的代号是jammy。每个版本的镜像文件都是有规律的。bionic版本的源如下。查看自己系统上的版本号。
Cpolar快速入门教程:Ubuntu系列
m0_60657960的博客
04-28 969
网:我们通常说的是互联网;站:可以理解成在互联网上的一个房子。把互联网看做一个城市,城市里面的每一个房子就是一个站点,房子里面放着你的资源,那如果有人想要访问你房子里面的东西怎么办?在现实生活中,去别人家首先要知道别人的地址,某某区某某街道,几号,在互联网中也有地址的概念,就是IP。通过IP我们就能找到在互联网上面的站点,端口可以看做是这个房子的入口,不同的入口所看到的东西也就不一样,如从大门(80端口)进是客厅,从窗户(8080端口)进是书房。
Ubuntu 24.04 配置镜像源
最新发布
数字原住民
04-28 226
Ubuntu 24.04 Noble 配置镜像源
ubuntu18源码安装postgresql15.2数据库
04-27 423
由于官方的源只能安装到pg10这个版本,整了好一会没有成功就改为源码安装了。
ubuntu打开ufw防火墙
05-05
可以通过以下步骤打开 UbuntuUFW 防火墙: 1. 打开终端(快捷键:Ctrl+Alt+T) 2. 输入以下命令以确保 ufw 已经安装并启动: ``` sudo ufw status ``` 如果 ufw 没有安装,可以通过以下命令安装: ``` sudo apt-get update sudo apt-get install ufw ``` 3. 输入以下命令以启用 ufw 防火墙: ``` sudo ufw enable ``` 4. 输入以下命令以检查 ufw 防火墙的状态: ``` sudo ufw status ``` 现在,ufw 防火墙已经启用并保护你的 Ubuntu 系统了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值