Ubuntu系統中防火墻UFW設置方法步驟
防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。自打2.4版本以后的Linux內核中, 提供了一個非常優秀的防火墻工具。這個工具可以對出入服務的網絡數據進行分割、過濾、轉發等等細微的控制,進而實現諸如防火墻、NAT等功能,下面一起看看具體步驟
方法步驟
一般來說, 我們會使用名氣比較的大iptables等程序對這個防火墻的規則進行管理。iptables可以靈活的定義防火墻規則, 功能非常強大。但是由此產生的副作用便是配置過于復雜。一向以簡單易用著稱Ubuntu在它的發行版中,附帶了一個相對iptables簡單很多的防火墻配置工具:ufw。
ufw默認是沒有啟用的。也就是說,ubuntu中的端口默認都是開放的。使用如下命令啟動ufw:
$sudo ufw default deny
$sudo ufw enable
通過第一命令,我們設置默認的規則為allow, 這樣除非指明打開的端口, 否則所有端口默認都是關閉的。第二個命令則啟動了ufw。如果下次重新啟動機器,ufw也會自動啟動。
對于大部分防火墻操作來說, 其實無非就是的打開關閉端口。如果要打開SSH服務器的22端口, 我們可以這樣:
$sudo ufw allow 22
由于在/etc/services中,22端口對應的服務名是ssh。所以下面的命令是一樣的:
$sudo ufw allow ssh
現在可以通過下面命令來查看防火墻的狀態了:
$sudo ufw status
Firewall loaded
To Action From
–—— —-
22:tcp ALLOW Anywhere
22:udp ALLOW Anywhere
我們可以看到,22端口的tcp和udp協議都打開了。
刪除已經添加過的規則:
$sudo ufw delete allow 22
只打開使用tcp/ip協議的22端口:
$sudo ufw allow 22/tcp
打開來自192.168.0.1的tcp請求的80端口:
$sudo ufw allow proto tcp from 192.168.0.1 to any port 22
要關系防火墻:
$sudu ufw disable
ubuntu下的ufw防火墻配置
UFW防火墻是一個主機端的iptables類防火墻配置工具。這個工具的目的是提供給用戶一個可以輕松駕馭的界面,就像包集成和動態檢測開放的端口一樣。
在Ubuntu中安裝UFW:
目前這個包存在于Ubuntu 8.04的庫中。
sudo apt-get install ufw
上面這行命令將把軟件安裝到您系統中。
開啟/關閉防火墻(默認設置是’disable’)
# ufw enable|disable
轉換日志狀態
# ufw logging on|off
設置默認策略(比如 “mostly open”vs “mostly closed”)
# ufw default allow|deny
許 可或者屏蔽某些入埠的包(可以在“status” 中查看到服務列表[見后文])。可以用“協議:端口”的方式指定一個存在于/etc/services中的服務名稱,也可以通過包的meta-data。 ‘allow’ 參數將把條目加入/etc/ufw/maps ,而 ‘deny’ 則相反。基本語法如下:
# ufw allow|deny [service]
顯示防火墻和端口的偵聽狀態,參見/var/lib/ufw/maps。括號中的數字將不會被顯示出來。
# ufw status
[注意:上文中雖然沒有使用sudo,但是命令提示符號都是“#”。所以……你知道啥意思了哈。原文如此。──譯者注]
UFW 使用范例:
允許53 端口
$ sudo ufw allow 53
禁用53 端口
$ sudo ufw delete allow 53
允許80 端口
$ sudo ufw allow 80/tcp
禁用80 端口
$ sudo ufw delete allow 80/tcp
允許smtp 端口
$ sudo ufw allow smtp
刪除smtp 端口的許可
$ sudo ufw delete allow smtp
允許某特定IP
$ sudo ufw allow from 192.168.254.254
刪除上面的規則
$ sudo ufw delete allow from 192.168.254.254
——————————————
我自己還用7.10呢,所以翻譯的過程中上面步驟沒經過試驗。
Ubuntu的名字都很別嘴,一直記不住:
* Ubuntu 6.06 LTS (Dapper Drake)
* Ubuntu 6.10 (Edgy Eft)
* Ubuntu 7.04 (Feisty Fawn)
* Ubuntu 7.10 (Gutsy Gibbon)
* Ubuntu 8.04 (Hardy Heron)
ubuntu 防火墻
ufw是Ubuntu下的一個簡易的防火墻配置工具,底層還是調用iptables來處理的,雖然功能較簡單,但對桌面型應用來說比較實用,基本常用功能都有,使用也較為容易。
==魚漂(admin.net#163.com)原創,轉載請注明==
1.安裝
sudo apt-get install ufw
2.啟用
sudo ufw enable
sudo ufw default deny
運行以上兩條命令后,開啟了防火墻,并在系統啟動時自動開啟。
關閉所有外部對本機的訪問,但本機訪問外部正常。
3.開啟/禁用
sudo ufw allow|deny [service]
打開或關閉某個端口,例如:
sudo ufw allow smtp 允許所有的外部IP訪問本機的25/tcp (smtp)端口
sudo ufw allow 22/tcp 允許所有的外部IP訪問本機的22/tcp (ssh)端口
sudo ufw allow 53 允許外部訪問53端口(tcp/udp)
sudo ufw allow from 192.168.1.100 允許此IP訪問所有的本機端口
sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53
sudo ufw deny smtp 禁止外部訪問smtp服務
sudo ufw delete allow smtp 刪除上面建立的某條規則
4.查看防火墻狀態
sudo ufw status
一般用戶,只需如下設置:
sudo apt-get install ufw
sudo ufw enable
sudo default deny
以上三條命令已經足夠安全了,如果你需要開放某些服務,再使用sudo ufw allow開啟。
Ubuntu防火墻UFW 設置簡介
1.安裝
sudo apt-get install ufw
2.啟用
sudo ufw enable
sudo ufw default deny
運行以上兩條命令后,開啟了防火墻,并在系統啟動時自動開啟。關閉所有外部對本機的訪問,但本機訪問外部正常。
3.開啟/禁用
sudo ufw allow|deny [service]
打開或關閉某個端口,例如:
sudo ufw allow smtp 允許所有的外部IP訪問本機的25/tcp (smtp)端口
sudo ufw allow 22/tcp 允許所有的外部IP訪問本機的22/tcp (ssh)端口
sudo ufw allow 53 允許外部訪問53端口(tcp/udp)
sudo ufw allow from 192.168.1.100 允許此IP訪問所有的本機端口
sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53
sudo ufw deny smtp 禁止外部訪問smtp服務
sudo ufw delete allow smtp 刪除上面建立的某條規則
4.查看防火墻狀態
sudo ufw status
一般用戶,只需如下設置:
sudo apt-get install ufw
sudo ufw enable
sudo ufw default deny
以上三條命令已經足夠安全了,如果你需要開放某些服務,再使用sudo ufw allow開啟。
開啟/關閉防火墻(默認設置是’disable’)
sudo ufw enable|disable
轉換日志狀態
sudo ufw logging on|off
設置默認策略(比如 “mostly open”vs “mostly closed”)
sudo ufw default allow|deny
許可或者屏蔽端口(可以在“status” 中查看到服務列表)。可以用“協議:端口”的方式指定一個存在于/etc/services中的服務名稱,也可以通過包的meta-data。 ‘allow’ 參數將把條目加入/etc/ufw/maps ,而 ‘deny’ 則相反。基本語法如下:
sudo ufw allow|deny [service]
顯示防火墻和端口的偵聽狀態,參見/var/lib/ufw/maps。括號中的數字將不會被顯示出來。
sudo ufw status
UFW 使用范例:
允許53 端口
$ sudo ufw allow 53
禁用53 端口
$ sudo ufw delete allow 53
允許80 端口
$ sudo ufw allow 80/tcp
禁用80 端口
$ sudo ufw delete allow 80/tcp
允許smtp 端口
$ sudo ufw allow smtp
刪除smtp 端口的許可
$ sudo ufw delete allow smtp
允許某特定IP
$ sudo ufw allow from 192.168.254.254
刪除上面的規則
$ sudo ufw delete allow from 192.168.254.254
補充閱讀:防火墻主要使用技巧
一、所有的防火墻文件規則必須更改。
盡管這種方法聽起來很容易,但是由于防火墻沒有內置的變動管理流程,因此文件更改對于許多企業來說都不是最佳的實踐方法。如果防火墻管理員因為突發情況或者一些其他形式的業務中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改,會導致宕機嗎?這是一個相當高發的狀況。
防火墻管理產品的中央控制臺能全面可視所有的防火墻規則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發現并修理故障,讓整個協議管理更加簡單和高效。
二、以最小的權限安裝所有的訪問規則。
另一個常見的安全問題是權限過度的規則設置。防火墻規則是由三個域構成的:即源(IP地址),目的地(網絡/子網絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統,常用方法是在一個或者更多域內指定打來那個的目標對象。當你出于業務持續性的需要允許大范圍的IP地址來訪問大型企業的網絡,這些規則就會變得權限過度釋放,因此就會增加不安全因素。服務域的規則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?
三、根據法規協議和更改需求來校驗每項防火墻的更改。
在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統為中心的。在安裝最新防火墻規則來解決問題,應用新產品和業務部門的過程中,我們經常會遺忘防火墻也是企業安全協議的物理執行者。每項規則都應該重新審核來確保它能符合安全協議和任何法規協議的內容和精神,而不僅是一篇法律條文。
四、當服務過期后從防火墻規則中刪除無用的規則。
規則膨脹是防火墻經常會出現的安全問題,因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們了解這些新規則,卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網絡以及應用軟件更新周期對于達成規則共識是個好的開始。運行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火墻團隊。
Ubuntu系統中防火墻UFW設置方法步驟相關文章: