|
|
* m: d$ L/ \6 C
UFW(Uncomplicated Firewall)是 iptables 的一个前端接口,旨在提供一个简单易用的方式来管理 Linux 的网络防火墙。它允许用户通过更直观的命令来定义允许或拒绝特定端口、协议或 IP 地址的网络流量。
4 y! Z! K% b8 I O' U. [, J2 u& f1 R/ n( f& V I7 [
UFW 的主要优势包括:
, P U+ k0 h& M4 {! A% |3 O易于使用: 相较于直接使用 iptables 命令,UFW 的语法更加简洁明了。
: M. D, k# e. |2 [" I) J默认策略: UFW 默认拒绝所有入站连接,只允许明确允许的连接,这提供了一个安全的起点。8 }7 x0 N0 Z7 f
模块化: 支持预定义的应用程序配置文件,简化了常见服务的配置。$ E% q: t) o& F! v) h% \: n
IPv6 支持: UFW 同时支持 IPv4 和 IPv6。7 A; W9 m* P$ K' u
* t( f0 y% c2 L& N* c- n安装ufw
" C6 m9 ~+ P- \% P" l2 @* isudo apt-get install ufw) I s- j( ~6 q \) Z1 }" O6 n2 {
* T- Y5 ]% U m; z2 j' ]: r/ P) l阻止单个IP地址
4 ?, }3 \6 b3 b, |7 Bsudo ufw deny from 192.168.1.100 to any
$ z1 O& s/ B, z' y# D% P: O4 [, \8 e: M, Y% M9 y" `$ P
阻止IP地址段/ q/ }+ f3 e, v$ p8 x& q, M
sudo ufw deny from 192.168.1.0/24 to any
% \/ e9 y% R4 I( h c% e) R" _0 H; E/ C
允许所有 IP 地址访问 22/tcp 端口$ M! i2 \* s( n4 Y& I1 E. Q* E, ^5 p8 z
sudo ufw allow 22/tcp$ `6 E+ z8 N0 X( ^+ k* L0 I
$ ?. G+ P$ k2 B3 x允许特定 IP 地址访问 22/tcp 端口 (更安全)* @" A, }0 |) T ^% u$ Z3 b
sudo ufw allow from 192.168.1.100 to any port 22 proto tcp' f8 e/ D2 r) Z0 N' s6 f. O
" p4 r0 D/ a( ? y. e
/ h. B3 K5 d0 c2 ~ s/ W
解释:& Q# x$ A& H! ]: H- c4 Y7 ]1 }- v3 T0 r
allow:表示允许流量。$ k/ R8 s9 k5 F, d
22/tcp:指定端口号(22)和协议(TCP)。- Y. @3 ^" f' T6 r# p
from <IP地址>:指定允许的源 IP 地址。$ x! S1 f/ k; b9 r7 l* `
to any:表示目标地址是服务器上的任何接口。/ `% K4 F8 r5 H) X2 `/ b2 e" T
proto tcp:指定协议为 TCP。2 Z/ U: V1 p2 N5 ?# S
" p( A% p& Y: \* E$ c允许特定子网访问 22/tcp 端口
$ T1 Q) u! L$ N; Osudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp u. `; o3 }; t( W ]( Z
" j: `% N ^& w
允许通过服务名称(推荐), f( R' ?5 b+ V- o" `% `( l! q4 E( H; ^
UFW 支持通过预定义的服务名称来配置规则,这比直接指定端口号更具可读性和维护性。SSH 的服务名称通常是 ssh。6 o- t5 ], F v* h, U, B
sudo ufw allow ssh) E( q6 U4 q( V. ^# h6 T9 Z
+ p: u5 N( v7 k2 ^: Z5 ]删除允许所有 IP 访问 80/tcp 端口的规则5 h0 E# f' b9 ]) r6 k1 Y
sudo ufw delete allow 80/tcp* J ~. B8 X3 V. w! ?. q
" ~( d8 g# \. Z, [通过行号删除 (推荐)& F( G% J. j- t4 C1 j
9 S! j8 J# L; a7 O/ w, K5 r
使用 sudo ufw status numbered 查看带有行号的规则,然后使用 sudo ufw delete <行号> 来删除。
) m$ H0 d O. l! r) U假设您想删除行号为 2 的规则:sudo ufw delete 2
* B% D8 U; i* q. r- j& J# ^/ @
! r4 V# N* N* z5 L+ X
$ |) M* X* z |; M如果您需要临时禁用防火墙,可以执行:sudo ufw disable
% S: g6 @/ V% g2 y6 X, r& [7 Y7 n0 H2 s
如果您想删除所有已配置的规则,并恢复到初始的禁用状态(包括默认策略),可以使用:sudo ufw reset
+ E6 `* \" x& G/ O) z
8 ]. y" v( T _2 L% `" \: S; S- b允许特定端口范围 Z" z3 Y! Z. c2 k S4 I% k
sudo ufw allow 60000:61000/tcp
+ Q* ?7 W+ x, F; j$ q3 ^sudo ufw allow 60000:61000/udp" W4 @& e4 f% k) L- P
: y) f/ O0 e' n3 I/ {$ q拒绝来自特定 IP 的所有连接! {) m" M0 e9 P2 e. w) i
sudo ufw deny from 192.168.1.100$ J0 {7 i. Z( z9 N8 L
3 ?% H! U9 E7 ^. ~& w2 ]2 h拒绝来自特定 IP 的特定端口连接3 F+ [$ p. @0 B3 I) a6 D
sudo ufw deny from 192.168.1.100 to any port 22 proto tcp
4 @# {- @# r& x( o9 {) ]. f- Y6 m1 w4 Q% S( ^6 u( B
查看可用应用程序配置文件- R* W+ E9 ?; o P; R4 Y! A
sudo ufw app list
1 T* z1 G" ]5 W
/ C& J0 S/ T+ {8 O启用ufw并查看状态
$ `" Z3 Q7 C# {6 m4 Ssudo ufw enable
: c8 }4 D+ _1 k* `2 Y4 J9 Z4 U( Msudo ufw status8 n# l' V/ P( H- A
. J6 n. p& Z |
6 u) o) U6 z: i$ t G/ b, M
核心命令回顾:
' ?/ L. A! K. W6 J0 |
' r5 u2 S [. F0 j% R% o7 K' bsudo ufw enable - 启用防火墙4 P4 w& g9 D5 Z5 Z( l1 e
sudo ufw disable - 禁用防火墙
) o$ M6 I! S0 h' T9 v v) usudo ufw status - 查看防火墙状态
3 X5 C$ N `( |' ]sudo ufw status numbered - 查看带行号的防火墙规则
; e, N/ p- G2 P* Vsudo ufw allow <port>/<protocol> - 允许流量( B% Y2 Q+ a. T* D- v
sudo ufw deny <port>/<protocol> - 拒绝流量7 M5 R' t! A* U6 L& X8 V
sudo ufw limit <port>/<protocol> - 限制连接频率* a4 k0 _. R, C) B5 E: G8 T
sudo ufw delete <rule> - 删除规则
* g4 f) }" d# C9 T) i& l8 Hsudo ufw reset - 重置防火墙1 G3 x! _# S7 x( j z8 ~: A
. Y/ e6 `9 [, K" d5 Z9 f |
|
发表于 2025-10-7 07:40:46