Linux中UFW防火墙配置
在管理服务器时,必须配置以增加其安全性的第一件事是配置防火墙,幸运的是在Linux中包含一个名为Iptables的默认设置,但是这个防火墙很多人认为配置和管理有点复杂。 有更简单的替代品可供使用,例如UFW。
UFW实际上是包含Linux的Iptables防火墙的CLI或命令行界面,该界面为我们提供了一种更简单的方法来管理和配置Iptables。 对于UFW,甚至还有一个名为GUFW的GUI或图形界面,我们可以在桌面PC或笔记本电脑上使用它来管理和配置防火墙。
在服务器上安装UFW
要安装它,只需将命令写入终端 -
默认情况下,UFW在安装后被禁用,因此我们可以使用命令查看其状态 -
UFW的基本配置
我们可以在UFW中使用的一些基本配置来确保我们的服务器。
默认规则:
顾名思义,默认规则是一系列便于配置防火墙的标准规则,这些规则允许我们指定是否要允许或拒绝传入流量或传出流量,以及其他一些规则。
事实上使用GUFW的非常好的配置几乎不安装在PC上,它是拒绝所有传入流量并允许传出流量。
我们可以使用以下命令进行调整:
拒绝所有传入的流量。
有了这两种配置,PC就可以得到很好的保护,但是如果我们想提高安全性,我们也可以拒绝传出流量以获得更高的安全性,当然缺点是你必须知道哪些应用需要一个 出站流量规则能够正常运行。
允许连接:
假设我们在服务器上配置防火墙并拒绝所有传入流量。 我们如何通过SSH远程连接到它? 我们需要应用允许我们连接到端口22的规则。
为此,我们使用选项allow,并指定我们希望允许传入流量的端口及其使用的TCP协议:
UFW附带了一些我们可以按其名称使用的预设规则,例如,上一个命令尝试打开已知用作SSH连接的端口的端口22,也可以使用以下命令启用此规则:
以同样的方式,我们可以使用其他预先建立的规则来处理已知服务,例如使用端口80的HTTP,使用端口443的HTTPS等。
港口范围:
您也可能希望不仅允许传入流量到端口,而且允许其中的一系列传输流量,例如,Mosh应用程序可能需要从端口60000到协议的61000的端口范围。 开udp。
我们可以通过输入以下下这样的命令来应用它:
拒绝连接:
与我们允许传入连接的方式相同,我们可以拒绝这些连接。
假设我们有一个允许所有传入流量的默认规则(不推荐),但我们只想拒绝某个端口的传入流量,我们可以应用这样的配置:
以同样的方式,我们可以做到拒绝一个端口范围。
删除规则:
假设我们已将SSH服务器配置为使用端口2222而不是先前打开的22端口,我们应该删除允许端口的先前规则22.这可以使用以下命令完成:
sudo ufw delete allow 22/tcp
以类似的方式,如果它是一系列端口,我们可以这样做:
sudo ufw delete allow 60000:61000/udp
例如,如果我们有一组用UFW建立的规则,我们想要消除它们但不知道如何执行这种消除,因为它是某种复杂的规则,我们可以用命令列出它们:
至 动作 来自
- -- --
[ 1] 22/tcp DENY IN Anywhere
[ 2] 60000:61000/udp DENY IN Anywhere
[ 3] 22/tcp (v6) DENY IN Anywhere (v6)
[ 4] 60000:61000/udp (v6) DENY IN Anywhere (v6)
什么会给我们一组这样的编号规则:
ufw规则状态
如上所述,规则已编号,因此我们可以使用该数字来消除特定规则:
激活和停用UFW:
一旦配置了所有规则并确保一切正确,我们将使用以下命令继续激活防火墙:
有了这个,我们将使UFW处于活动状态,并使用我们指定的规则保护连接。
如果要禁用UFW,请键入以下命令:
如果由于某种原因,您要求取消所有适用的规则 -
总结
这些只是UFW的一些基本配置,我们可以通过它为我们的PC和服务器添加一层良好的安全性。还有一些高级配置可用于进一步提高安全性或执行某种特定任务。