ubuntu 系统中配置防火墙
ufw(Uncomplicated Firewall)是一个简化的、易于使用的Linux防火墙工具,旨在方便用户管理iptables防火墙规则。
特点
- 简化的防火墙管理:ufw提供了一个简洁的命令行界面,让您能够轻松地添加、删除和修改防火墙规则。
- 基于iptables:ufw是基于iptables的,因此它与Linux内核中现有的防火墙技术兼容。它实际上是iptables的一个友好的前端。
- 允许和拒绝规则:您可以使用ufw创建允许和拒绝规则,以控制入站和出站流量。这让您可以精确地控制允许哪些连接进入或离开您的系统。
- 放行特定端口、协议和IP:ufw允许您放行特定端口、协议(TCP或UDP)以及特定来源或目标IP地址的连接。
- 限制特定IP访问:您可以使用ufw限制特定IP地址访问您的系统上的特定端口。
- 日志记录:ufw可以记录防火墙活动,这对于监视您的系统安全和解决网络问题非常有用。
- 易于启用和禁用:ufw可以轻松启用和禁用,让您在需要时可以迅速启用防火墙,或在进行系统维护时暂时关闭防火墙。
1. 防火墙命令 ufw 安装
apt-get install ufw
2. 常用操作命令
以下命令均在root用户下执行,若非root用户,需要加sudo
# 打开防火墙
ufw enable
# 关闭防火墙
ufw disable
# 查看防火墙状态/已启用的规则
systemctl status ufw
ufw status
# 设置开机自启
systemctl enable ufw
# 关闭所有外部对本机的访问
ufw default deny
放行某个端口
# 放行tcp 端口
ufw allow 80/tcp
# 删除上条规则
ufw delete allow 80/tcp
# 放行udp 8000 端口
ufw allow 8000/udp
# 删除上条规则
ufw delete allow 8000/udp
# 放行 tcp 1500到1600
ufw allow 1500:1600/tcp
# 删除上条规则
ufw delete allow 1500:1600/tcp
允许某个IP/段访问
# 允许IP 192.168.100.1 访问
ufw allow from 192.168.100.1
# 删除上条规则
ufw delete allow from 192.168.100.1
# 允许IP段 192.168.100.0/24 访问
ufw allow from 192.168.100.0/24
# 删除上条规则
ufw delete allow from 192.168.100.0/24
允许特定IP访问特定端口
# 允许192.168.100.1访问本机的tcp 22端口
ufw allow from 192.168.100.1 to any port 22/tcp
# 删除上条规则
ufw delete allow from 192.168.100.1 to any port 22/tcp
