Debian (Linux)安装UFW防火墙

Debian (Linux)安装UFW防火墙

1ufw简介

UFW，即简单防火墙，是iptables的接口，旨在简化防火墙的配置过程。 尽管iptables是可靠且灵活的工具，但对于初学者而言，可能很难学习如何使用它来正确配置防火墙。 如果您希望开始保护网络安全并且不确定使用哪种工具，UFW可能是您的正确选择。

2先决条件

要遵循本教程，您将需要一台具有sudo非root用户的Debian 10服务器。

2.1设置非root用户获得root权限

1修改 /etc/sudoers文件权限 执行以下操作

sudo chmod  740 /etc/sudoers

假设你的用户名是“yunmuyao”。你可以在sudoers文件中加上一下两行的任意一行

yunmuyao ALL=(ALL:ALL) ALL
yunmuyao ALL=(ALL:ALL) NOPASSWD:ALL (出于方便，推荐使用此设置)

解释说明：

第一行：允许用户yunmuyao执行sudo命令（需要输入密码）。

第二行：允许用户yunmuyao执行sudo命令，并且在执行的时候不输入密码。

2将文件权限改回以防止误操作。执行以下操作

sudo chmod  440 /etc/sudoers

3验证sudo是否赋给yunmuyao

sudo ls

出现如下字符说明成功

3.安装ufw

3.1下载ufw

下载地址http://mirrors.163.com/debian/pool/main/u/ufw/ufw_0.33-2_all.deb3.2

下载ufw的安装包，然后用远程文件传输工具服务器上，运行sudo dpkg -i *.deb（i指的是安装包名称），这样即成功安装ufw

sudo dpkg -i *.deb

安装完成

4.在UFW中使用IPv6(可选)

本教程是在考虑IPv4的前提下编写的，但是只要启用它就可以在IPv6上使用。 如果您的Debian服务器已启用IPv6，则需要确保UFW已配置为支持IPv6；否则，请执行以下步骤。 这将确保UFW除了管理IPv4外，还将管理IPv6的防火墙规则。

nano /etc/default/ufw

确保IPV6值为yes 。

5.设置默认策略

如果您刚开始使用防火墙，则定义的第一条规则是默认策略。 这些规则处理未明确匹配任何其他规则的流量。 默认情况下，UFW设置为拒绝所有传入连接并允许所有传出连接。 这意味着尝试访问您的服务器的任何人都将无法连接，而服务器中的任何应用程序都将可以访问外部。

sudo ufw default allow outgoing
sudo ufw default deny incoming

这些命令将默认设置设置为拒绝传入并允许传出连接。 这些防火墙默认值仅够一台个人计算机就足够了，但是服务器通常需要响应外部用户的传入请求，如果此时开始防火墙，就会中断ssh连接。 接下来，设置允许ssh连接

6.允许SSH连接

如果我们现在启用UFW防火墙，它将拒绝所有传入连接。 这意味着如果我们希望服务器响应那些类型的请求，我们将需要创建规则，以明确允许合法的传入连接(例如SSH或HTTP连接)。 如果使用的是云服务器，则可能需要允许传入的SSH连接，以便可以连接并管理服务器。

要将服务器配置为允许传入的SSH连接，可以使用以下命令：

sudo ufw allow ssh

这将创建防火墙规则，该规则将允许端口22上的所有连接，端口22是SSH守护程序默认监听的端口。 UFW知道allow ssh意味着什么端口，因为它在/etc/services文件中被列为/etc/services 。

但是，我们实际上可以通过指定端口而不是服务名称来编写等效规则。 例如，此命令产生与上面相同的结果：

sudo ufw allow 22

现在，防火墙已配置为允许传入的SSH连接，可以启用它。

7.启用UFW

要启用UFW，请使用以下命令：

sudo ufw enable

您将收到一条警告，指出该命令可能会破坏现有的SSH连接。 我们已经设置了允许SSH连接的防火墙规则，因此可以继续。 用y响应提示，然后按ENTER 。

该命令默认会将UFW设置为开机启动，如果发现重启后UFW并没有自动启动，可以手动设置UFW服务开机自动启

#可以手动设置UFW服务开机自动启
sudo systemctl start ufw
sudo systemctl enable ufw

如果发现重启后UFW并没有自动启动，执行

systemctl list-unit-files | grep ufw

查询发现这个服务的状态是即不是enable也不是disenable,是generated

说明Systemd只是包装了一下这个服务，可以使用systemctl status ufw查看这个服务的状态，但不能对其进行管理，管理还是需要使用 update-rc.d

#update-rc.d添加到系统启动
update-rc.d ufw defaults 
#update-rc.d从系统启动中删除
update-rc.d ufw remove

如果以上操作都不能做到ufw开机自启 那么可以手动执行以下命令，直接在rc2.d中做一个符号链接想要了解update-rc.d请看该文档13标题

ln -s /etc/init.d/ufw  /etc/rc2.d/S01ufw

此时输入

#查看ufw服务状态
sudo systemctl status ufw
#查看ufw状态
sudo ufw status

此时防火墙已经正常启动 运行sudo ufw status verbose命令以查看您设置的规则

sudo ufw status verbose

8.允许其他连接

此时，您应该允许服务器正常运行所需的所有其他连接。 您应允许的连接取决于您的特定需求。允许基于服务名称或端口进行连接； 我们已经在端口22上针对SSH进行了此操作。 您也可以这样做：

端口80上的HTTP，这是未加密的Web服务器使用的端口。 要允许这种类型的流量，您可以输入

sudo ufw allow http 或 sudo ufw allow 80

端口443上的HTTPS，这是加密的Web服务器使用的端口。 要允许这种类型的流量，您可以输入

sudo ufw allow https 或 sudo ufw allow 443

但是，除了指定端口或已知服务之外，还有其他允许连接的方法。 接下来我们将讨论这些。

8.1特定端口范围

您可以使用UFW指定端口范围。 例如，某些应用程序使用多个端口而不是单个端口。

例如，使用端口6000 - 6007 ，使用这些命令：

sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

使用UFW指定端口范围时，必须指定规则应适用的协议( tcp或udp )。 我们之前没有提到这一点，因为未指定协议会自动允许这两种协议，这在指定单个端口情况下是可以的。

8.2特定的IP地址

使用UFW时，您还可以指定IP地址。 例如，如果要允许来自特定IP地址的连接，例如203.0.113.4的工作或家庭IP地址， 203.0.113.4需要指定from ，然后指定IP地址：

sudo ufw allow from 203.0.113.4

您还可以通过添加to any port后跟端口号to any port指定允许IP地址连接的特定端口。 例如，如果要允许203.0.113.4连接到端口22 (SSH)，请使用以下命令：

sudo ufw allow from 203.0.113.4 to any port 22

8.3子网路

如果要允许IP地址的子网，可以使用CIDR表示法指定网络掩码。 例如，如果要允许所有IP地址从203.0.113.1到203.0.113.254 ，可以使用以下命令：

sudo ufw allow from 203.0.113.0/24

同样，您也可以指定允许子网203.0.113.0/24连接到的目标端口。 同样，我们将使用端口22 (SSH)作为示例：

sudo ufw allow from 203.0.113.0/24 to any port 22

8.4与特定网络接口的连接

如果要创建仅适用于特定网络接口的防火墙规则，可以通过allow in on指定allow in on ，然后指定网络接口的名称来实现。

您可能需要先查找网络接口，然后再继续。 为此，请使用以下命令：

ip addr

突出显示的输出指示网络接口名称。 它们通常被命名为eth0或enp32 。

如果您的服务器具有名为enp32的公共网络接口，则可以使用以下命令允许HTTP流量流向该服务器：

sudo ufw allow in on enp32 to any port 80

这样做将允许您的服务器从公共互联网接收HTTP请求。

或者，如果您希望您MySQL数据库服务器(端口3306 )侦听专用网络接口lo上的连接，则可以使用以下命令：

sudo ufw allow in on lo to any port 3306

这将允许您专用网络上的其他服务器连接到MySQL数据库。s

9.拒绝连接

如果您尚未更改传入连接的默认策略，则UFW被配置为拒绝所有传入连接。 通常，这要求您创建明确允许特定端口和IP地址通过的规则，从而简化了创建安全防火墙策略的过程。

有时，您可能想基于源IP地址或子网拒绝特定的连接，也许是因为您知道服务器正受到来自那里的攻击。 另外，如果要将默认传入策略更改为允许 (不建议这样做)，则需要为不想允许连接的任何服务或IP地址创建拒绝规则。

要编写拒绝规则，您可以使用上述命令，将allow替换为deny 。

例如，要拒绝HTTP连接，可以使用以下命令

sudo ufw deny http

或者，如果您要拒绝203.0.113.4所有连接， 203.0.113.4可以使用以下命令：

sudo ufw deny from 203.0.113.4

10.删除规则

知道如何删除防火墙规则与知道如何创建防火墙规则一样重要。 有两种方法可以指定要删除的规则：按规则编号或按规则本身。 这类似于创建规则时如何指定规则。 我们将从解释按规则编号删除方法开始。

如果您使用规则号删除防火墙规则，则要做的第一件事就是获取防火墙规则列表。 UFW status命令具有numbered选项，该选项在每个规则旁边显示数字：

sudo ufw status numbered

如果我们决定删除规则1 (该规则允许端口22上的ssh连接)，则可以在以下UFW delete命令中指定此规则：

sudo ufw delete 2

10.1按实际规则

规则编号的替代方法是指定要删除的实际规则。 例如，如果要删除allow http规则，则可以这样编写：

sudo ufw delete allow http

您还可以使用allow 80代替服务名称来指定规则：

sudo ufw delete allow 80

11.检查UFW状态和规则

您可以随时使用以下命令检查UFW的状态：

sudo ufw status verbose

12.禁用或重置UFW

如果您决定不想使用UFW，则可以使用以下命令将其禁用也就是关闭ufw：

sudo ufw disable

如果已经配置了UFW规则，但是您决定要重新开始，则可以使用reset命令 也就是重置ufw规则：

sudo ufw reset

至此debian的ufw防火墙安装完成

13update-rc.d开机自启详解

debian中的运行级别

• 0（关闭系统）
• 1（单用户模式，只允许root用户对系统进行维护。）
• 2 到 5（多用户模式，其中3为字符界面，5为图形界面。）
• 6（重启系统）

update-rc.d命令详解

update-rc.d是一个Perl脚本，是用来自动升级System V类型初始化脚本，简单来说就是哪些东西是你想要在系统引导初始化的时候运行的，哪些是希望在关机或重启时候停止的，你都可以用它来设置。这些脚本的链接位于/etc/rcN.d/下（N代表0～6），对应脚本位于/etc/init.d/下。

实际上,任意目录/etc/rcN.d/中的脚本都是指向/etc/init.d/的符号链接（软件链接#ln-s源文件目标文件名）.然而,每个/etc/rcN.d/目录中文件的名称用来指定/etc/init.d相应脚本的运行方式.特别是,在进入任何运行级别之前,所有名称以’‘K’‘打头的脚本均被运行,这些脚本的工作是中止进程.然后,所有名称以’‘S’‘打头的脚本被运行,这些脚本的工作是启动进程.名称中跟在’‘K’‘或’‘S’'后的两位数规定了脚本运行的先后次序,数字小的脚本先运行.

1.从所有的运行级别中删除指定的启动项

update-rc.d -f ＜basename＞ remove

2.按指定顺序、在指定运行级别中启动或关闭

设置启动项：

update-rc.d <serviceName> start <order> <runlevel>

设置停止项：

update-rc.d <serviceName> stop <order> <runlevel>

设置启动和停止可以写在一起，例如：

update-rc.d ＜basename＞ start|stop ＜order＞ ＜runlevels＞

实例：update-rc.d apachectl start 20 2 3 4 5 . stop 20 0 1 6 .
解析：表示在2、3、4、5这五个运行级别中，由小到大，第20个开始运行apachectl；在 0 1 6这三个运行级别中，第20个关闭apachectl。这是合并起来的写法，注意它有2个点号，效果等于下面方法：

update-rc.d apachectl defaults

3.A启动后B才能启动，B关闭后A才关闭

update-rc.d A defaults 80 20
update-rc.d B defaults 90 10

4.启动和关闭顺序为90，级别默认

update-rc.d ＜basename＞ defaults 90