admin 管理员组文章数量: 1086019
2024年12月25日发(作者:lazyload延迟加载方式)
Ubuntu系统中防火墙UFW设置方法步骤
Ubuntu系统中防火墙UFW设置方法步骤加城.4版本
以后的Linux内核中,提供了一个非常优秀的防火墙工具。
这个工具能够对出入服务的网络数据进行分割、过滤、转发
等等细微的控制,进而实现诸如防火墙、NAT等功能,下面
一起看看详细步骤
方法步骤
一般来讲,我们会使用名气比拟的大iptables等程序
对这个防火墙的规则进行管理。iptables能够灵敏的定义防火
墙规则,功能非常强大。但是由此产生的副作用便是配置过
于复杂。一向以简单易用著称Ubuntu在它的发行版中,附
带了一个相对iptables简单很多的防火墙配置工具:ufw。
ufw默认是没有启用的。也就是讲,ubuntu中的端口
默认都是开放的。使用如下命令启动ufw:
$sudoufwdefaultdeny
$sudoufwenable
通过第一命令,我们设置默认的规则为allow,这样除
非指明打开的端口,否则所有端口默认都是关闭的。第二个
命令则启动了ufw。假如下次重新启动机器,ufw也会自动
启动。
对于大部分防火墙操作来讲,其实无非就是的打开关
闭端口。假如要打开SSH服务器的22端口,我们能够这样:
$sudoufwallow22
由于在/etc/services中,22端口对应的服务名是ssh。
所下面面的命令是一样的:
$sudoufwallowssh
如今能够通过下面命令来查看防火墙的状态了:
$sudoufwstatus
Firewallloaded
ToActionFrom
-
22:tcpALLOWAnywhere
22:udpALLOWAnywhere
我们能够看到,22端口的tcp和udp协议都打开了。
删除已经添加过的规则:
$sudoufwdeleteallow22
只打开使用tcp/ip协议的22端口:
$sudoufwallow22/tcp
打开来自192.168.0.1的tcp请求的80端口:
$sudoufwallowprototcpfrom192.168.0.1toanyport22
要关系防火墙:
$suduufwdisable
ubuntu下的ufw防火墙配置
UFW防火墙是一个主机端的iptables类防火墙配置工
具。这个工具的目的是提供应用户一个能够轻松驾驭的界面,
就像包集成和动态检测开放的端口一样。
在Ubuntu中安装UFW:
目前这个包存在于Ubuntu8.04的库中。
sudoapt-getinstallufw
上面这行命令将把软件安装到您系统中。
开启/关闭防火墙(默认设置是disable)
#ufwenable|disable
转换日志状态
#ufwloggingon|off
设置默认策略(比方mostlyopenvsmostlyclosed)
#ufwdefaultallow|deny
许可或者屏蔽某些入埠的包(能够在status中查看到
服务列表[见后文])。能够用协议:端口的方式指定一个存在
于/etc/services中的服务名称,可以以通过包的meta-data。
allow参数将把条目参加/etc/ufw/maps,而deny则相反。基
本语法如下:
#ufwallow|deny[service]
显示防火墙和端口的侦听状态,参见
/var/lib/ufw/maps。括号中的数字将不会被显示出来。
#ufwstatus
[注意:上文中固然没有使用sudo,但是命令提示符
号都是#。所以你知道啥意思了哈。原文如此。──译者注]
UFW使用范例:
允许53端口
$sudoufwallow53
禁用53端口
$sudoufwdeleteallow53
允许80端口
$sudoufwallow80/tcp
禁用80端口
$sudoufwdeleteallow80/tcp
允许smtp端口
$sudoufwallowsmtp
删除smtp端口的许可
$sudoufwdeleteallowsmtp
允许某特定IP
$sudoufwallowfrom192.168.254.254
删除上面的规则
$sudoufwdeleteallowfrom192.168.254.254
我本人还用7.10呢,所以翻译的经过中上面步骤没经
过试验。
Ubuntu的名字都很别嘴,一直记不住:
*Ubuntu6.06LTS(DapperDrake)
*Ubuntu6.10(EdgyEft)
*Ubuntu7.04(FeistyFawn)
*Ubuntu7.10(GutsyGibbon)
*Ubuntu8.04(HardyHeron)
ubuntu防火墙
ufw是Ubuntu下的一个简易的防火墙配置工具,底层
还是调用iptables来处理的,固然功能较简单,但对桌面型
应用来讲比拟实用,基本常用功能都有,使用也较为容易。
==鱼漂(#163)原创,转载请注明==
1.安装
sudoapt-getinstallufw
2.启用
sudoufwenable
sudoufwdefaultdeny
运行以上两条命令后,开启了防火墙,并在系统启动
时自动开启。
关闭所有外部对本机的访问,但本机访问外部正常。
3.开启/禁用
sudoufwallow|deny[service]
打开或关闭某个端口,例如:
sudoufwallowsmtp允许所有的外部IP访问本机的
25/tcp(smtp)端口
sudoufwallow22/tcp允许所有的外部IP访问本机的
22/tcp(ssh)端口
sudoufwallow53允许外部访问53端口(tcp/udp)
sudoufwallowfrom192.168.1.100允许此IP访问所有的
本机端口
sudoufwallowprotoudp192.168.0.1port53to192.168.0.2
port53
服务,再使用
sudoufwdenysmtp禁止外部访问smtp服务
sudoufwdeleteallowsmtp删除上面建立的某条规则
4.查看防火墙状态
sudoufwstatus
一般用户,只需如下设置:
sudoapt-getinstallufw
sudoufwenable
sudodefaultdeny
以上三条命令已经足够安全了,假如你需要开放某些
sudoufwallow开启。
Ubuntu防火墙UFW设置简介
1.安装
sudoapt-getinstallufw
2.启用
sudoufwenable
sudoufwdefaultdeny
运行以上两条命令后,开启了防火墙,并在系统启动
时自动开启。关闭所有外部对本机的访问,但本机访问外部
正常。
3.开启/禁用
sudoufwallow|deny[service]
打开或关闭某个端口,例如:
sudoufwallowsmtp允许所有的外部IP访问本机的
25/tcp(smtp)端口
sudoufwallow22/tcp允许所有的外部IP访问本机的
22/tcp(ssh)端口
sudoufwallow53允许外部访问53端口(tcp/udp)
sudoufwallowfrom192.168.1.100允许此IP访问所有的
本机端口
sudoufwallowprotoudp192.168.0.1port53to192.168.0.2
port53
服务,再使用
sudoufwdenysmtp禁止外部访问smtp服务
sudoufwdeleteallowsmtp删除上面建立的某条规则
4.查看防火墙状态
sudoufwstatus
一般用户,只需如下设置:
sudoapt-getinstallufw
sudoufwenable
sudoufwdefaultdeny
以上三条命令已经足够安全了,假如你需要开放某些
sudoufwallow开启。
开启/关闭防火墙(默认设置是disable)
sudoufwenable|disable
转换日志状态
sudoufwloggingon|off
设置默认策略(比方mostlyopenvsmostlyclosed)
sudoufwdefaultallow|deny
许可或者屏蔽端口(能够在status中查看到服务列表)。
能够用协议:端口的方式指定一个存在于/etc/services中的
服务名称,可以以通过包的meta-data。allow参数将把条目
参加/etc/ufw/maps,而deny则相反。基本语法如下:
sudoufwallow|deny[service]
显示防火墙和端口的侦听状态,参见
/var/lib/ufw/maps。括号中的数字将不会被显示出来。
sudoufwstatus
UFW使用范例:
允许53端口
$sudoufwallow53
禁用53端口
$sudoufwdeleteallow53
允许80端口
$sudoufwallow80/tcp
禁用80端口
$sudoufwdeleteallow80/tcp
允许smtp端口
$sudoufwallowsmtp
删除smtp端口的许可
$sudoufwdeleteallowsmtp
允许某特定IP
$sudoufwallowfrom192.168.254.254
删除上面的规则
$sudoufwdeleteallowfrom192.168.254.254
补充浏览:防火墙主要使用技巧
一、所有的防火墙文件规则必须更改。
尽管这种方法听起来很容易,但是由于防火墙没有内
置的变动管理流程,因而文件更改对于很多企业来讲都不是
最佳的实践方法。假如防火墙管理员由于突发情况或者一些
其他形式的业务中断做出更改,那么他撞到枪口上的可能性
就会比拟大。但是假如这种更改抵消了之前的协议更改,会
导致宕机吗?这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防
火墙规则基础,因而团队的所有成员都必须达成共鸣,观察
谁进行了何种更改。这样就能及时发现并修理故障,让整个
协议管理愈加简单和高效。
二、以最小的权限安装所有的访问规则。
另一个常见的安全问题是权限过度的规则设置。防火
墙规则是由三个域构成的:即源(IP地址),目的地(网络/子网
络)和服务(应用软件或者其他目的地)。为了确保每个用户都
有足够的端口来访问他们所需的系统,常用方法是在一个或
者更多域内指定打来那个的目的对象。当你出于业务持续性
的需要允许大范围的IP地址来访问大型企业的网络,这些规
则就会变得权限过度释放,因而就会增加不安全因素。服务
域的规则是开放65535个TCP端口的ANY。防火墙管理员真
的就意味着为黑客开放了65535个攻击矢量?
三、根据法规协议和更改需求来校验每项防火墙的更
改。
在防火墙操作中,日常工作都是以寻找问题,修正问
题和安装新系统为中心的。在安装最新防火墙规则来解决问
题,应用新产品和业务部门的经过中,我们经常会遗忘防火
墙也是企业安全协议的物理执行者。每项规则都应该重新审
核来确保它能符合安全协议和任何法规协议的内容和精神,
而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则。
规则膨胀是防火墙经常会出现的安全问题,由于多数
运作团队都没有删除规则的流程。业务部门擅于让你知道他
们了解这些新规则,却从来不会让防火墙团队知道他们不再
使用某些服务了。了解退役的服务器和网络以及应用软件更
新周期对于达成规则共鸣是个好的开场。运行无用规则的报
表是另外一步。黑客喜欢从来不删除规则的防火墙团队。
Ubuntu系统中防火墙UFW设置方法步骤
版权声明:本文标题:Ubuntu系统中防火墙UFW设置方法步骤 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1735216891a1641945.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论