(Linux)- 如何安裝防火牆 UFW 和其基本設定
(Linux)- 如何安裝防火牆 UFW 和其基本設定
防火牆 UFW 的安裝,與一般常見基本設定可以在此找到方法。
(Linux)- 如何安裝防火牆 UFW 和其基本設定
UFW 是一個 Arch Linux、Debian 或 Ubuntu 中管理防火牆規則的前端,可簡化防火牆的配置過程。發行版本有 Debian 和 Ubuntu。
一、安裝和基本設定
Debian
1.1 安裝 UFW
Debian 預設軟體源不提供 UFW,如還沒有安裝,可以使用 apt 命令來安裝
apt-get update && apt-get install ufw
CentOS
1.2 安裝 UFW
CentOS 預設軟體源不提供 UFW,所以你需要安裝 EPEL 軟體源,運行以下命令:
# yum install epel-release -y
安裝完成後使用以下命令安裝 UFW:
# yum install –enablerepo=”epel” ufw -y
PS:設置預設值
$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
默認行為開始。允許內部連出,不允許外部連入
2. 在 UFW 使用前,應該檢查是否已經在運行
$ ufw status
如果你發現狀態是 inactive ,意思是沒有被啟動或不起作用。
啟用/禁用
ufw enable #啟用
ufw disable #禁用
預設情況,沒有允許就是拒絕(入站),使用 ufw allow 來添加允許訪問的埠或協議。
$ ufw allow ssh # 添加 22 埠
ufw allow http # 添加 80 埠
$ ufw allow https # 添加 443 埠
$ ufw allow 2333/tcp # 添加 2333 埠,僅 TCP 協議
$ ufw allow 6666/udp #添加 6666 埠,僅 UDP 協議
$ ufw allow 8888:9999 # 添加 8888 到 9999 之間的埠
$ sudo ufw allow 192.168.1.0/24 # 允許來自特定 IP 位址或位址範圍的流量
$ sudo ufw allow 56881:56889/tcp 允許整個埠範圍,例如使用 Deluge,不過這樣做時,需要指定 TCP 或UDP
4. 拒絕訪問(deny)
預設情況, ufw deny <埠> 來添加拒絕入站的端和協議,與添加允許的類似。
$ sudo ufw deny 192.168.1.110
5. 刪除規則(delete)
先使用 ufw status 查看規則,再使用 ufw delete [規則] <埠> 來刪除規則。
$ ufw delete allow 2333/tcp
PS:如果有很多條規則,可使用 numbered 參數,可以在每條規則上加個序號數位。然後使用 ufw delete < 序號 > 來刪除規則。
6.命令僅控制入站流量。要專門針對出站連接,請包括 out。
$ sudo ufw allow out ssh
7. 如果決定要重新開始,則可以使用 reset 命令,這將禁用 UFW 並刪除之前定義的任何規則。
$ ufw reset
8. 特定的IP位址 ( 進階 )
出於某些情況,你可能需要允許/禁用來自特定IP位址的連接,如下:
# ufw allow from 192.168.29.36
# ufw deny from 192.168.29.36
還可以在 UFW 中允許 IP 位址範圍,以下命令將允許從 192.168.1.1 到 192.168.1.254 的所有連接:
# ufw allow from 192.168.1.0/24
要允許 IP 位址 192.168.29.36 連接特定的埠 80,可以運行以下命令:
# ufw allow from 192.168.29.36 to any port 80
進一步的,可以指定 TCP/UDP:
# ufw allow from 192.168.29.36 to any port 80 proto tcp
綜合的例子:
# ufw deny from 192.168.0.4 to any port 22
# ufw deny from 192.168.0.10 to any port 22
# ufw allow from 192.168.0.0/24 to any port 22
以上命令將會阻止從 192.168.0.4 和 192.168.0.10 訪問埠 22,但允許所有其他 IP 訪問埠 22。
9. 最新版的 UFW 預設啟用了 IPV6 配置,可以通過以下命令進行檢查,可以看到以下輸出:
# cat /etc/default/ufw | grep -i ipv6
IPV6=yes
PS:如果輸出為 IPV6 = no,可以使用 vim 編輯該檔將其改為 yes。
二、UFW 設置桌面 ( 不常見 )
1設置預設值
$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
2. 接下來,允許 HTTP 和 HTTPS 通信。
$ sudo ufw allow http
$ sudo ufw allow https
3. 允許SSH。
$ sudo ufw allow ssh
4. 大多數桌上型電腦在系統時間上都依賴 NTP。
$ sudo ufw allow ntp
5. 如使用靜態 DHCP。閞起埠 67 和 68。
$ sudo ufw allow 67:68/tcp
PS:如果使用靜態 IP,就不用開起了
6. DNS 通信。使用埠為 53。
$ sudo ufw allow 53
7.如果使用 Torrent 用戶端 ( 例如 Deluge ),請啟用該流量。
$ sudo ufw allow 56881:56889/tcp
8. 如使用蒸汽會使用大量埠。需要允許下面這些埠。
$ sudo ufw allow 27000:27036/udp
$ sudo ufw allow 27036:27037/tcp
$ sudo ufw allow 4380/udp
三、設置 Web 伺服器 ( 常用 )
Web 伺服器是非常常見的用例。需採取一些措施來關閉所有垃圾流量和惡意行為者,以免它們成為真正的問題。同時,您需要確保所有合法流量都不受限制地通過。
對於伺服器,您可能希望通過預設情況下拒絕所有操作來加強操作。在執行此操作之前,請禁用防火牆,否則它將切斷您的 SSH 連接。
$ sudo ufw default deny incoming
$ sudo ufw default deny outgoing
$ sudo ufw default deny forward
# 啟用入站和出站 Web 通信。
$ sudo ufw allow http
$ sudo ufw allow out http
$ sudo ufw allow https
$ sudo ufw allow out https
# 允許 SSH。您肯定會需要它。
$ sudo ufw allow ssh
$ sudo ufw allow out ssh
# 伺服器可能使用 NTP 來保持系統時鐘。應該允許它。
$ sudo ufw allow ntp
$ sudo ufw allow out ntp
# 需要用 DNS 來更新伺服器。
$ sudo ufw allow 53
$ sudo ufw allow out 53
設置 UFW 防火牆並不需要很多步驟,但它確實可以保護系統, 儘管很簡單,但也絕對可以在第一時間投入生產。它是 iptables 之上的一層,因此也可獲得相同的品質與安全性。
免責聲明:
1.本影像檔案皆從網上搜集轉載,不承擔任何技術及版權問題。
2.如有下載連結僅供寬頻測試研究用途,請下載後在24小時內刪除,請勿用於商業。
3.若侵犯了您的合法權益,請來信通知我們,我們會及時刪除,給您帶來的不便,深表歉意。