Ubuntu UFW 防火墙配置
Ubuntu 附带的 UFW(Uncomplicated Firewall)防火墙配置工具,用于管理 iptables 防火墙规则,用于监视和过滤传入和传出网络流量的工具,通过定义一组安全规则来确定是允许还是阻止特定流量。本文基于 Ubuntu 20.04 上配置和管理UFW。
1.安装UFW
Ubuntu 20.04默认安装有UFW,如果不存在,请执行
sudo apt update
sudo apt install ufw
2.检查UFW状态
默认情况下禁用 UFW,使用以下命令检查 UFW 服务的状态:
sudo ufw status verbose
3.UFW默认策略
UFW 防火墙的默认行为是阻止所有传入和转发流量并允许所有出站流量。默认策略在 /etc/default/ufw 文件中定义,可以通过手动修改文件或使用以下命令来更改。
sudo ufw default <policy> <chain>
4.应用配置文件
应用程序配置文件是 INI 格式的文本文件,用于描述服务并包含服务的防火墙规则。应用程序配置文件是在 /etc/ufw/applications.d 安装包期间在目录中创建的。列出服务器上可用的所有应用程序配置文件:
sudo ufw app list
根据系统上安装的软件包,输出将类似于以下内容:
Available applications:
Nginx Full
Nginx HTTP
Nginx HTTPS
OpenSSH
要查找有关特定配置文件和包含的规则的更多信息,请使用以下命令:
sudo ufw app info 'Nginx Full'
5.启用 UFW
如果从远程位置连接到 Ubuntu,则在启用 UFW 防火墙之前,必须明确允许传入的 SSH 连接。否则,将无法再连接到机器。要将 UFW 防火墙配置为允许传入 SSH 连接,命令:
sudo ufw allow ssh
如果 SSH 在非标准端口上运行 ,则需要打开该端口。例如,如果ssh 守护程序侦听 port 5800,请输入以下命令以允许该端口上的连接:
sudo ufw allow 7722
现在防火墙已配置为允许传入的 SSH 连接,可以通过键入以下内容启用它(确保ssh端口已设置为 allow),启用防火墙可能会中断现有的 ssh 连接,只需键入y并点击Enter:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
6.打开 UFW端口
打开端口的一般语法如下
ufw allow port_number/protocol
其他说明:
UFW 检查/etc/services文件中指定服务的端口和协议,指定端口号和协议,当没有给出协议时,UFW 为tcp和都创建规则udp;选择是使用应用程序配置文件,在这种情况下,“Nginx HTTP”;UFW 还支持使用proto关键字指定协议的另一种语法:
sudo ufw allow http
sudo ufw allow 80/tcp
sudo ufw allow 'Nginx HTTP'
sudo ufw allow proto tcp to any port 80
UFW 还允许打开端口范围。开始和结束端口由冒号 ( :)分隔,必须指定协议,或者tcp或udp。例如,如果想在和上都允许从7100到到的端口,可以运行以下命令:7200 tcp udp
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
特定 IP 地址和端口,要允许来自给定源 IP 的所有端口上的连接,请使用from后跟源地址的关键字。以下是将 IP 地址列入白名单的示例:
sudo ufw allow from 200.200.200.200
只想允许给定的 IP 地址访问特定端口,请使用to any port关键字后跟端口号。例如,要允许22从 IP 地址为 的机器访问端口200.200.200.200,请输入:
sudo ufw allow from 200.200.200.200 to any port 22
允许连接到 IP 地址子网的语法与使用单个 IP 地址时的语法相同。唯一的区别是需要指定网络掩码。下面是一个示例,展示了如何允许访问范围从192.168.1.1到192.168.1.254到端口3360( MySQL ) 的IP 地址:
sudo ufw allow from 192.168.1.0/24 to any port 3306
要允许特定网络接口上的连接,请使用in on后跟网络接口名称的关键字:
sudo ufw allow in on eth2 to any port 3306
7.拒绝连接
所有传入连接的默认策略设置为deny,如果没有更改它,UFW 将阻止所有传入连接,除非专门打开连接。编写拒绝规则与编写允许规则相同;只需要使用deny关键字而不是allow.
假设打开了端口80和443,并且您的服务器受到23.24.25.0/24网络攻击。要拒绝来自23.24.25.0/24您的所有连接,或者80,443 端口的连接,请运行以下命令:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443
8.删除UFW规则
有两种不同的方法可以通过规则编号和指定实际规则来删除 UFW 规则。
按规则编号删除规则更容易,尤其是当不熟悉 UFW 时。要先按规则编号删除规则,需要找到要删除的规则编号。要获取编号规则列表,请使用以下 ufw status numbered 命令:
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8180/tcp ALLOW IN Anywhere
要删除规则编号3,即允许连接到端口的规则编号8180,可以输入:
sudo ufw delete 3
第二种方法是通过指定实际规则来删除规则。例如,如果您添加了打开端口的规则,则 8280 可以使用以下命令将其删除:
sudo ufw delete allow 8280
9.UFW操作
sudo ufw disable //禁用
sudo ufw enable //启用
sudo ufw reload //重载
sudo ufw reset //重置
10.IP伪装和转发
IP 伪装是 Linux 内核中 NAT(网络地址转换)的一种变体,它通过重写源和目标 IP 地址和端口来转换网络流量。使用 IP 伪装,可以允许专用网络中的一台或多台机器使用一台充当网关的 Linux 机器与 Internet 通信。使用 UFW 配置 IP 伪装涉及几个步骤。
首先,需要启用IP转发。为此,请打开 /etc/ufw/sysctl.conf 文件,查找并取消注释以下行
net.ipv4.ip_forward = 1
接下来,需要配置 UFW 以允许转发数据包。打开 UFW 配置文件:
sudo vi /etc/default/ufw
找到 DEFAULT_FORWARD_POLICY 键,并将值从 更改 DROP 为 ACCEPT:
DEFAULT_FORWARD_POLICY="ACCEPT"
现在需要为表中的POSTROUTING链nat和伪装规则设置默认策略。请打开 /etc/ufw/before.rules 文件并附加以下几行,如下所示( 不要忘了替换eth0的-A POSTROUTING行相匹配的公共网络接口的名称 ):
sudo vi /etc/ufw/before.rules
#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
:
完成后,保存并关闭文件。最后,通过禁用和重新启用 UFW 来重新加载 UFW 规则。