伏龙阁资源网

Linux 中的防火墙 ufw 简介
站长资源 2024/11/23 佚名
2 0

我们来研究下 Linux 上的 ufw(简单防火墙),为你更改防火墙提供一些见解和命令。

ufw(简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单,这对新管理员来说是一个福音,否则他们可能需要投入大量时间来学习防火墙管理。

ufw 也有 GUI 客户端(例如 gufw),但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令,并研究了它的工作方式。

首先,快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置,使用 grep 来抑制了空行和注释(以 # 开头的行)的显示。

$ grep -v '^#\|^$' /etc/default/ufw
IPV6=yes
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_APPLICATION_POLICY="SKIP"
MANAGE_BUILTINS=no
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

正如你所看到的,默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。

ufw 命令的基本语法如下所示,但是这个概要并不意味着你只需要输入 ufw 就行,而是一个告诉你需要哪些参数的快速提示。

ufw [--dry-run] [options] [rule syntax]

--dry-run 选项意味着 ufw 不会运行你指定的命令,但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集,因此你要做有好多行输出的准备。

要检查 ufw 的状态,请运行以下命令。注意,即使是这个命令也需要使用 sudo root 账户。

$ sudo ufw status
Status: active
To    Action From
--    ------ ----
22    ALLOW 192.168.0.0/24
9090   ALLOW Anywhere
9090 (v6)   ALLOW Anywhere (v6)

否则,你会看到以下内容:

$ ufw status

ERROR: You need to be root to run this script
加上 verbose 选项会提供一些其它细节:

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To    Action From
--    ------ ----
22    ALLOW IN 192.168.0.0/24
9090   ALLOW IN Anywhere
9090 (v6)   ALLOW IN Anywhere (v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接:

$ sudo ufw allow 80  <== 允许 http 访问
$ sudo ufw deny 25  <== 拒绝 smtp 访问

你可以查看 /etc/services 文件来找到端口号和服务名称之间的联系。

$ grep 80/ /etc/services
http  80/tcp  www  # WorldWideWeb HTTP
socks  1080/tcp   # socks proxy server
socks  1080/udp
http-alt 8080/tcp webcache # WWW caching service
http-alt 8080/udp
amanda  10080/tcp   # amanda backup services
amanda  10080/udp
canna  5680/tcp   # cannaserver

或者,你可以命令中直接使用服务的名称。

$ sudo ufw allow http
Rule added
Rule added (v6)
$ sudo ufw allow https
Rule added
Rule added (v6)

进行更改后,你应该再次检查状态来查看是否生效:

$ sudo ufw status
Status: active
To    Action From
--    ------ ----
22    ALLOW 192.168.0.0/24
9090   ALLOW Anywhere
80/tcp   ALLOW Anywhere  <==
443/tcp   ALLOW Anywhere  <==
9090 (v6)   ALLOW Anywhere (v6)
80/tcp (v6)  ALLOW Anywhere (v6) <==
443/tcp (v6)  ALLOW Anywhere (v6) <==

ufw 遵循的规则存储在 /etc/ufw 目录中。注意,你需要 root 用户访问权限才能查看这些文件,每个文件都包含大量规则。

$ ls -ltr /etc/ufw
total 48
-rw-r--r-- 1 root root 1391 Aug 15 2017 sysctl.conf
-rw-r----- 1 root root 1004 Aug 17 2017 after.rules
-rw-r----- 1 root root 915 Aug 17 2017 after6.rules
-rw-r----- 1 root root 1130 Jan 5 2018 before.init
-rw-r----- 1 root root 1126 Jan 5 2018 after.init
-rw-r----- 1 root root 2537 Mar 25 2019 before.rules
-rw-r----- 1 root root 6700 Mar 25 2019 before6.rules
drwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d
-rw-r--r-- 1 root root 313 Mar 18 17:30 ufw.conf
-rw-r----- 1 root root 1711 Mar 19 10:42 user.rules
-rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules

本文前面所作的更改,为 http 访问添加了端口 80 和为 https 访问添加了端口 443,在 user.rules user6.rules 文件中看起来像这样:

# grep " 80 " user*.rules
user6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 in
user6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPT
user.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
user.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPT
You have new mail in /var/mail/root
# grep 443 user*.rules
user6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 in
user6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPT
user.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 in
user.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT

使用 ufw,你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接:

$ sudo ufw deny from 208.176.0.50

Rule added

status 命令将显示更改:

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To    Action From
--    ------ ----
22    ALLOW IN 192.168.0.0/24
9090   ALLOW IN Anywhere
80/tcp   ALLOW IN Anywhere
443/tcp   ALLOW IN Anywhere
Anywhere   DENY IN 208.176.0.50  <== new
9090 (v6)   ALLOW IN Anywhere (v6)
80/tcp (v6)  ALLOW IN Anywhere (v6)
443/tcp (v6)  ALLOW IN Anywhere (v6)

总而言之,ufw 不仅容易配置,而且且容易理解。

总结

广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
www.wwsws.com 伏龙阁资源网
39,976影音资源
44,792技术资源
21,817软件资源
651,128站长资源
一句话新闻
苹果官宣WWDC 2024!预计会有大批AI功能 - 2024/11/23

3月27日消息,苹果宣布2024年全球开发者大会(WWDC)将于6月10日至6月14日举行,巧合的是,这次大会与端午假期重合。

苹果官方表示:

在线参加 Apple 每年规模最大的开发者盛会。亲眼见证 Apple 最新平台、技术和工具的发布。了解如何创建和改进你的 App 和游戏。与 Apple 设计师和工程师互动交流,与全球开发者社区建立联系。以上活动均免费在线举行。

探索各种新的工具、框架和功能,助力你打造出理想的 App 和游戏。通过视频讲座学习新技能,与 Apple 专家进行一对一会面,以推进你的项目,完善你的构思。

Swift Student Challenge 旨在支持和鼓舞下一代开发者、创作者和企业家。太平洋时间 3 月 28 日,我们将公布今年的获奖者名单。获奖者将有资格参加在 Apple Park 举办的特别活动。我们还会选出 50 名杰出获胜者,他们将受邀前往库比提诺,获得为期三天的非凡体验,包括参加 Apple Park 的特别活动。

RTX 5090要首发 性能要翻倍!三星展示GDDR7显存

三星在GTC上展示了专为下一代游戏GPU设计的GDDR7内存。

首次推出的GDDR7内存模块密度为16GB,每个模块容量为2GB。其速度预设为32 Gbps(PAM3),但也可以降至28 Gbps,以提高产量和初始阶段的整体性能和成本效益。

据三星表示,GDDR7内存的能效将提高20%,同时工作电压仅为1.1V,低于标准的1.2V。通过采用更新的封装材料和优化的电路设计,使得在高速运行时的发热量降低,GDDR7的热阻比GDDR6降低了70%。

更新日志

友情链接

杰晶网络 DDR爱好者之家 桃源资源网 杰网资源 富贵资源网 南强小屋 铁雪资源网 幽灵资源网 万梅资源网 狼山资源网 白云岛资源网 昆仑资源网 相思资源网 明霞山资源网 内蒙古资源网 黑松山资源网 茶园资源网 饿虎岗资源网 大旗谷资源网 常春岛资源网 岱庙资源网 兴国资源网 快活林资源网 蝙蝠岛资源网 帝王谷资源网 白云城资源网 伏龙阁资源网 清风细雨楼 天枫庄资源网 圆月山庄资源网 无争山庄资源网 神水资源网 移花宫资源网 神剑山庄资源网 无为清净楼资源网 金钱帮资源网 丐帮资源网 华山资源网 极乐门资源网 小李飞刀资源网 凤求凰客栈 风云阁资源网 金狮镖局 鸳鸯亭资源网 千金楼资源网 更多链接