防火墙是一种用于监视和过滤传入和传出网络流量的工具。四川联想代理商它通过定义一组安全规则来工作,这些安全规则确定是允许还是阻止特定流量。
Ubuntu随附了一个名为UFW(非复杂防火墙)的防火墙配置工具。UFW是用于管理iptables防火墙规则的用户友好型前端。它的主要目标是使防火墙管理更容易,或者顾名思义,使防火墙变得不复杂。
本文介绍如何使用UFW工具在Ubuntu 20.04系统服务器上配置和管理防火墙。正确配置的防火墙是整个系统安全的最重要方面之一。
先决条件
只有root或具有sudo特权的用户才能管理系统防火墙。最佳实践是以sudo用户身份运行管理任务。
1、安装UFW
UFW是标准Ubuntu 20.04安装的一部分,应该存在于您的系统中。如果由于某种原因未安装它,则可以通过键入以下内容来安装软件包:
sudo apt update
sudo apt install ufw
2、检查UFW状态
UFW默认情况下处于禁用状态。您可以使用以下命令检查UFW服务的状态:
sudo ufw status verbose
输出将显示防火墙状态为非活动:
Status: inactive
如果激活了UFW,则输出将类似于以下内容:
3、UFW默认策略
UFW防火墙的默认行为是阻止所有传入和转发流量,并允许所有出站流量。这意味着除非您专门打开端口,否则任何尝试访问您的服务器的人都将无法连接。服务器上运行的应用程序和服务将能够访问外界。
默认策略在/etc/default/ufw文件中定义,可以通过手动修改文件或使用sudo ufw default
防火墙策略是构建更复杂和用户定义的规则的基础。通常,初始UFW默认策略是一个很好的起点。
4、应用应用简介
应用程序配置文件是INI格式的文本文件,用于描述服务并包含该服务的防火墙规则。/etc/ufw/applications.d在安装软件包期间,将在目录中创建应用程序配置文件。
您可以通过键入以下命令列出服务器上所有可用的应用程序配置文件:
sudo ufw app list
根据系统上安装的软件包,输出将类似于以下内容:
Available applications:
Nginx Full
Nginx HTTP
Nginx HTTPS
OpenSSH
要查找有关特定概要文件和包含的规则的更多信息,请使用以下命令:
sudo ufw app info Nginx Full
输出显示“ Nginx Full”配置文件打开端口80和443。
您还可以为应用程序创建自定义配置文件。
5、启用UFW
如果要从远程位置连接到Ubuntu,则在启用UFW防火墙之前,必须明确允许传入的SSH连接。否则,您将无法连接到服务器。
要将UFW防火墙配置为允许传入的SSH连接,请输入以下命令:
sudo ufw allow ssh
Rules updated
Rules updated (v6)
如果SSH在非标准端口上运行,则需要打开该端口。
例如,如果您的ssh守护程序在port上侦听7722,请输入以下命令以允许该端口上的连接:
sudo ufw allow 7722/tcp
现在,将防火墙配置为允许传入的SSH连接,您可以通过键入以下命令启用它:
sudo ufw enable
您将被警告,启用防火墙可能会破坏现有的ssh连接,只需键入y和hit即可Enter。
6、开放口
根据系统上运行的应用程序,您可能还需要打开其他端口。打开端口的一般语法如下:
ufw allow port_number/protocol
以下是有关如何允许HTTP连接的几种方法。
第一种选择是使用服务名称。UFW检查/etc/services文件中指定服务的端口和协议:
sudo ufw allow http
您还可以指定端口号和协议:
sudo ufw allow 80/tcp
如果未提供任何协议,UFW会同时为tcp和创建规则udp。
另一种选择是使用应用程序配置文件。在这种情况下,“ Nginx HTTP”:
sudo ufw allow Nginx HTTP
UFW还支持另一种使用proto关键字指定协议的语法:
sudo ufw allow proto tcp to any port 80
7、端口范围
UFW还允许您打开端口范围。起始端口和结束端口用冒号(:)分隔,并且您必须指定协议,tcp或者udp。
例如,如果要在和两者上都允许端口从7100到,则可以运行以下命令:7200tcpudp
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
8、特定的IP地址和端口
要允许来自给定源IP的所有端口上的连接,请使用from关键字后跟源地址。
这是将IP地址列入白名单的示例:
sudo ufw allow from 64.63.62.61
如果只允许给定的IP地址访问特定端口,请使用to any port关键字,后跟端口号。
例如,要允许22IP地址为的机器从端口访问64.63.62.61,请输入:
sudo ufw allow from 64.63.62.61 to any port 22
9、子网路
允许连接到IP地址子网的语法与使用单个IP地址时的语法相同。唯一的区别是您需要指定网络掩码。
下面是一个例子,示出了如何以允许IP地址的范围从接入192.168.1.1到192.168.1.254端口3360(MySQL的):
sudo ufw allow from 192.168.1.0/24 to any port 3306
10、特定的网络接口
要允许特定网络接口上的连接,请使用in on关键字,后跟网络接口的名称:
sudo ufw allow in on eth2 to any port 3306
11、拒绝连接
所有传入连接的默认策略均设置为deny,如果尚未更改,UFW将阻止所有传入连接,除非您专门打开该连接。
编写拒绝规则与编写允许规则相同;您只需要使用deny关键字即可allow。
假设您打开了端口80和443,并且服务器正受到23.24.25.0/24网络的攻击。要拒绝您的所有连接,23.24.25.0/24请运行以下命令:
sudo ufw deny from 23.24.25.0/24
这里是否认只是端口的访问的例子80,并443从23.24.25.0/24您可以使用下面的命令:
sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443
12、删除UFW规则
通过规则编号和指定实际规则,可以通过两种不同的方式删除UFW规则。
通过规则编号删除规则更加容易,尤其是当您不熟悉UFW时。要首先通过规则编号删除规则,您需要找到要删除的规则的编号。要获取编号规则的列表,请使用以下ufw status numbered命令:
sudo ufw status numbered
要删除规则号3(允许连接到port 的规则号)8080,请输入:
sudo ufw delete 3
第二种方法是通过指定实际规则来删除规则。例如,如果您添加了打开端口的规则,则8069可以使用以下命令将其删除:
sudo ufw delete allow 8069
13、禁用UFW
如果出于任何原因要停止UFW并停用所有规则,则可以使用:
sudo ufw disable
以后,如果您想重新启用UTF并激活所有规则,只需键入:
sudo ufw enable
14、重置UFW
重置UFW将禁用UFW,并删除所有活动规则。如果要还原所有更改并重新开始,这将很有帮助。
要重置UFW,请键入以下命令:
sudo ufw reset
15、IP伪装
IP Masquerading是Linux内核中NAT(网络地址转换)的一种变体,它通过重写源IP地址和目标IP地址和端口来转换网络流量。借助IP伪装,您可以使用一台充当网关的Linux服务器,允许专用网络中的一台或多台服务器与Internet通信。
用UFW配置IP伪装涉及几个步骤。
首先,您需要启用IP转发。为此,请打开/etc/ufw/sysctl.conf文件:
sudo nano /etc/ufw/sysctl.conf
找到并取消注释以下行net.ipv4.ip_forward = 0:
/etc/ufw/sysctl.conf
net/ipv4/ip_forward=1
接下来,您需要配置UFW以允许转发数据包。打开UFW配置文件:
sudo nano /etc/default/ufw
找到DEFAULT_FORWARD_POLICY密钥,并将值从更改DROP为ACCEPT:
/ etc / default / ufw
DEFAULT_FORWARD_POLICY=ACCEPT
现在,您需要为表中的POSTROUTING链条nat和伪装规则设置默认策略。为此,请打开/etc/ufw/before.rules文件并添加以黄色突出显示的行,如下所示:
sudo nano /etc/ufw/before.rules
追加以下几行:
/etc/ufw/before.rules
#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE
# dont delete the COMMIT line or these rules wont be processed
COMMIT
不要忘了替换eth0的-A POSTROUTING行相匹配的公共网络接口的名称:
完成后,保存并关闭文件。
最后,通过禁用和重新启用UFW重新加载UFW规则:
sudo ufw disable
sudo ufw enable
总结
本文向您介绍了如何在Ubuntu 20.04服务器上安装和配置UFW防火墙。确保限制系统正常运行所必需的所有传入连接,同时限制所有不必要的连接。
成都联想代理www.lenovocd.com【公司名称】成都鸿盛广达科技有限公司
【代理级别】成都联想服务器总代理
【销售经理】成都鸿盛广达科技有限公司
【联系方式】座机:028-85952921 手机:13981931555
【公司地址】成都市武侯区人民南路四段一号时代数码广场A座17楼