(Linux)- 如何安裝防火牆 UFW 和其基本設定

(Linux)- 如何安裝防火牆 UFW 和其基本設定

(Linux)- 如何安裝防火牆 UFW 和其基本設定

防火牆 UFW 的安裝,與一般常見基本設定可以在此找到方法。

 

(Linux)- 如何安裝防火牆 UFW 和其基本設定

UFW 是一個 Arch Linux、De­bian 或 Ubuntu 中管理防火牆規則的前端,可簡化防火牆的配置過程。發行版本有 Debian 和 Ubuntu。

 

一、安裝和基本設定

Debian

 

1.1 安裝 UFW

Debian 預設軟體源不提供 UFW,如還沒有安裝,可以使用 apt 命令來安裝

apt-get update && apt-get install ufw

 

CentOS

1.2 安裝 UFW

CentOS 預設軟體源不提供 UFW,所以你需要安裝 EPEL 軟體源,運行以下命令:

# yum install epel-release -y

安裝完成後使用以下命令安裝 UFW:

# yum install –enablerepo=”epel” ufw -y

 

PS:設置預設值

$ sudo ufw default deny incoming

$ sudo ufw default allow outgoing

默認行為開始。允許內部連出,不允許外部連入

 

2. 在 UFW 使用前,應該檢查是否已經在運行

$  ufw status

如果你發現狀態是 inactive ,意思是沒有被啟動或不起作用。

啟用/禁用

ufw enable #啟用

ufw disable #禁用

 

預設情況,沒有允許就是拒絕(入站),使用 ufw allow 來添加允許訪問的埠或協議。

 

$ ufw allow ssh    # 添加 22 埠

ufw allow http    # 添加 80 埠

$ ufw allow https    # 添加 443 埠

$ ufw allow 2333/tcp    # 添加 2333 埠,僅 TCP 協議

$ ufw allow 6666/udp    #添加 6666 埠,僅 UDP 協議

$ ufw allow 8888:9999    # 添加 8888 到 9999 之間的埠

$ sudo ufw allow 192.168.1.0/24    # 允許來自特定 IP 位址或位址範圍的流量

$ sudo ufw allow 56881:56889/tcp    允許整個埠範圍,例如使用 Deluge,不過這樣做時,需要指定 TCP 或UDP

 

4. 拒絕訪問(deny)

預設情況, ufw deny <埠> 來添加拒絕入站的端和協議,與添加允許的類似。

$ sudo ufw deny 192.168.1.110

 

 

5. 刪除規則(delete)

先使用 ufw status 查看規則,再使用 ufw delete [規則] <埠> 來刪除規則。

$ ufw delete allow 2333/tcp

 

PS:如果有很多條規則,可使用 numbered 參數,可以在每條規則上加個序號數位。然後使用 ufw delete < 序號 > 來刪除規則。

 

6.命令僅控制入站流量。要專門針對出站連接,請包括 out。

$ sudo ufw allow out ssh

 

7. 如果決定要重新開始,則可以使用 reset 命令,這將禁用 UFW 並刪除之前定義的任何規則。

$ ufw reset

 

8. 特定的IP位址 ( 進階 )

出於某些情況,你可能需要允許/禁用來自特定IP位址的連接,如下:

# ufw allow from 192.168.29.36

# ufw deny from 192.168.29.36

 

還可以在 UFW 中允許 IP 位址範圍,以下命令將允許從 192.168.1.1 到 192.168.1.254 的所有連接:

# ufw allow from 192.168.1.0/24

 

要允許 IP 位址 192.168.29.36 連接特定的埠 80,可以運行以下命令:

# ufw allow from 192.168.29.36 to any port 80

 

進一步的,可以指定 TCP/UDP:

# ufw allow from 192.168.29.36 to any port 80 proto tcp

 

綜合的例子:

# ufw deny from 192.168.0.4 to any port 22

# ufw deny from 192.168.0.10 to any port 22

# ufw allow from 192.168.0.0/24 to any port 22

以上命令將會阻止從 192.168.0.4 和 192.168.0.10 訪問埠 22,但允許所有其他 IP 訪問埠 22。

 

9. 最新版的 UFW 預設啟用了 IPV6 配置,可以通過以下命令進行檢查,可以看到以下輸出:

# cat /etc/default/ufw | grep -i ipv6

IPV6=yes

 

PS:如果輸出為 IPV6 = no,可以使用 vim 編輯該檔將其改為 yes。

 


二、UFW 設置桌面 ( 不常見 )

1設置預設值

$ sudo ufw default deny incoming

$ sudo ufw default allow outgoing

 

2. 接下來,允許 HTTP 和 HTTPS 通信。

$ sudo ufw allow http

$ sudo ufw allow https

 

3. 允許SSH。

$ sudo ufw allow ssh

 

4. 大多數桌上型電腦在系統時間上都依賴 NTP。

$ sudo ufw allow ntp

 

5. 如使用靜態 DHCP。閞起埠 67 和 68。

$ sudo ufw allow 67:68/tcp

 

PS:如果使用靜態 IP,就不用開起了

 

6. DNS 通信。使用埠為 53。

$ sudo ufw allow 53

 

7.如果使用 Torrent 用戶端 ( 例如 Deluge ),請啟用該流量。

$ sudo ufw allow 56881:56889/tcp

 

8. 如使用蒸汽會使用大量埠。需要允許下面這些埠。

$ sudo ufw allow 27000:27036/udp

$ sudo ufw allow 27036:27037/tcp

$ sudo ufw allow 4380/udp

 

三、設置 Web 伺服器 ( 常用 )

Web 伺服器是非常常見的用例。需採取一些措施來關閉所有垃圾流量和惡意行為者,以免它們成為真正的問題。同時,您需要確保所有合法流量都不受限制地通過。

對於伺服器,您可能希望通過預設情況下拒絕所有操作來加強操作。在執行此操作之前,請禁用防火牆,否則它將切斷您的 SSH 連接。

$ sudo ufw default deny incoming

$ sudo ufw default deny outgoing

$ sudo ufw default deny forward   

 

# 啟用入站和出站 Web 通信。

$ sudo ufw allow http

$ sudo ufw allow out http

$ sudo ufw allow https

$ sudo ufw allow out https    

 

# 允許 SSH。您肯定會需要它。

$ sudo ufw allow ssh    

$ sudo ufw allow out ssh    

 

# 伺服器可能使用 NTP 來保持系統時鐘。應該允許它。

$ sudo ufw allow ntp   

$ sudo ufw allow out ntp    

 

# 需要用 DNS 來更新伺服器。

$ sudo ufw allow 53    

$ sudo ufw allow out 53    

 

設置 UFW 防火牆並不需要很多步驟,但它確實可以保護系統, 儘管很簡單,但也絕對可以在第一時間投入生產。它是 iptables 之上的一層,因此也可獲得相同的品質與安全性。

 

 

 

免責聲明:

1.本影像檔案皆從網上搜集轉載,不承擔任何技術及版權問題。

2.如有下載連結僅供寬頻測試研究用途,請下載後在24小時內刪除,請勿用於商業。

3.若侵犯了您的合法權益,請來信通知我們,我們會及時刪除,給您帶來的不便,深表歉意。



發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *