千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

如何理解Linux中的防火墙ufw

发表于:2024-11-17 作者:千家信息网编辑
千家信息网最后更新 2024年11月17日,这篇文章主要讲解了"如何理解Linux中的防火墙ufw",文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习"如何理解Linux中的防火墙ufw"吧!我们来研究
千家信息网最后更新 2024年11月17日如何理解Linux中的防火墙ufw

这篇文章主要讲解了"如何理解Linux中的防火墙ufw",文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习"如何理解Linux中的防火墙ufw"吧!

我们来研究下 Linux 上的 ufw(简单防火墙),为你更改防火墙提供一些见解和命令。

ufw(简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单,这对新管理员来说是一个福音,否则他们可能需要投入大量时间来学习防火墙管理。

ufw 也有 GUI 客户端(例如 gufw),但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令,并研究了它的工作方式。

首先,快速查看 ufw 配置的方法是查看其配置文件 -- /etc/default/ufw。使用下面的命令可以查看其配置,使用 grep 来抑制了空行和注释(以 # 开头的行)的显示。

$ grep -v '^#\|^$' /etc/default/ufwIPV6=yesDEFAULT_INPUT_POLICY="DROP"DEFAULT_OUTPUT_POLICY="ACCEPT"DEFAULT_FORWARD_POLICY="DROP"DEFAULT_APPLICATION_POLICY="SKIP"MANAGE_BUILTINS=noIPT_SYSCTL=/etc/ufw/sysctl.confIPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

正如你所看到的,默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。

ufw 命令的基本语法如下所示,但是这个概要并不意味着你只需要输入 ufw 就行,而是一个告诉你需要哪些参数的快速提示。

ufw [--dry-run] [options] [rule syntax]

--dry-run 选项意味着 ufw 不会运行你指定的命令,但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集,因此你要做有好多行输出的准备。

要检查 ufw 的状态,请运行以下命令。注意,即使是这个命令也需要使用 sudoroot 账户。

$ sudo ufw statusStatus: activeTo    Action From--    ------ ----22    ALLOW 192.168.0.0/249090   ALLOW Anywhere9090 (v6)   ALLOW Anywhere (v6)

否则,你会看到以下内容:

$ ufw status

ERROR: You need to be root to run this script
加上 verbose 选项会提供一些其它细节:

$ sudo ufw status verboseStatus: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skipTo    Action From--    ------ ----22    ALLOW IN 192.168.0.0/249090   ALLOW IN Anywhere9090 (v6)   ALLOW IN Anywhere (v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接:

$ sudo ufw allow 80  <== 允许 http 访问$ sudo ufw deny 25  <== 拒绝 smtp 访问

你可以查看 /etc/services 文件来找到端口号和服务名称之间的联系。

$ grep 80/ /etc/serviceshttp  80/tcp  www  # WorldWideWeb HTTPsocks  1080/tcp   # socks proxy serversocks  1080/udphttp-alt 8080/tcp webcache # WWW caching servicehttp-alt 8080/udpamanda  10080/tcp   # amanda backup servicesamanda  10080/udpcanna  5680/tcp   # cannaserver

或者,你可以命令中直接使用服务的名称。

$ sudo ufw allow httpRule addedRule added (v6)$ sudo ufw allow httpsRule addedRule added (v6)

进行更改后,你应该再次检查状态来查看是否生效:

$ sudo ufw statusStatus: activeTo    Action From--    ------ ----22    ALLOW 192.168.0.0/249090   ALLOW Anywhere80/tcp   ALLOW Anywhere  <==443/tcp   ALLOW Anywhere  <==9090 (v6)   ALLOW Anywhere (v6)80/tcp (v6)  ALLOW Anywhere (v6) <==443/tcp (v6)  ALLOW Anywhere (v6) <==

ufw 遵循的规则存储在 /etc/ufw 目录中。注意,你需要 root 用户访问权限才能查看这些文件,每个文件都包含大量规则。

$ ls -ltr /etc/ufwtotal 48-rw-r--r-- 1 root root 1391 Aug 15 2017 sysctl.conf-rw-r----- 1 root root 1004 Aug 17 2017 after.rules-rw-r----- 1 root root 915 Aug 17 2017 after6.rules-rw-r----- 1 root root 1130 Jan 5 2018 before.init-rw-r----- 1 root root 1126 Jan 5 2018 after.init-rw-r----- 1 root root 2537 Mar 25 2019 before.rules-rw-r----- 1 root root 6700 Mar 25 2019 before6.rulesdrwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d-rw-r--r-- 1 root root 313 Mar 18 17:30 ufw.conf-rw-r----- 1 root root 1711 Mar 19 10:42 user.rules-rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules

本文前面所作的更改,为 http 访问添加了端口 80 和为 https 访问添加了端口 443,在 user.rulesuser6.rules 文件中看起来像这样:

# grep " 80 " user*.rulesuser6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPTuser.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPTYou have new mail in /var/mail/root# grep 443 user*.rulesuser6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPTuser.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT

使用 ufw,你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接:

$ sudo ufw deny from 208.176.0.50

Rule added

status 命令将显示更改:

$ sudo ufw status verboseStatus: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skipTo    Action From--    ------ ----22    ALLOW IN 192.168.0.0/249090   ALLOW IN Anywhere80/tcp   ALLOW IN Anywhere443/tcp   ALLOW IN AnywhereAnywhere   DENY IN 208.176.0.50  <== new9090 (v6)   ALLOW IN Anywhere (v6)80/tcp (v6)  ALLOW IN Anywhere (v6)443/tcp (v6)  ALLOW IN Anywhere (v6)

总而言之,ufw 不仅容易配置,而且且容易理解。

感谢各位的阅读,以上就是"如何理解Linux中的防火墙ufw"的内容了,经过本文的学习后,相信大家对如何理解Linux中的防火墙ufw这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是,小编将为大家推送更多相关知识点的文章,欢迎关注!

很赞哦!
命令 防火墙 防火 文件 配置 规则 学习 内容 研究 口号 可以使 名称 意味 状态 用以 端口 服务 检查 管理 输入 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 国产服务器查看系统版本 奉贤区信息网络技术推荐咨询 吉林企业党建软件开发专业制作 成都项目软件开发需要多少钱 家里网络安全验 文件管理 服务器 客户端 上海 物联软件开发 数据库查询有什么好处 网络安全屏障能力 宿迁企业软件开发诚信服务 连云港海航软件开发经验丰富 软件开发获奖发言 服务器2u机柜 宿州电信的软件开发岗位 信息技术为什么离不开数据库 新一轮网络安全测试 java游戏服务器高并发 数据库主变量的作用是什么 无线网络技术期末总结 服务器连存储 网络安全行政处罚细则 服务器数据库初始密码 用友软件制作数据库 阅文集团软件开发 什么叫做服务器以及作用 数据库重启应用服务器需要重启吗 海康多媒体服务器是干嘛的 宝鸡公司app软件开发费用 网络安全月活动什么时候结束 电脑可以做服务器吗

相关文章

0