Ubuntu防火墙管理

这篇具有很好参考价值的文章主要介绍了Ubuntu防火墙管理。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

防火墙管理

防火墙是用于监控和过滤传入和传出网络流量的工具。 它通过定义一组确定是允许还是阻止特定流量的安全规则来工作。

Ubuntu 18.04安装了一个称为UFW的防火墙配置工具。 它是用于管理iptables防火墙规则的用户友好型前端。 它的主要目标是使防火墙的管理变得更容易,简单。

只有root或具有sudo权限的用户可以管理系统防火墙。最佳做法是以sudo用户运行管理任务系统防火墙。

ufw是Ubuntu 18.04标准安装的一部分,它应该已安装于您的系统中。

如果由于某种原因未安装,则可以通过apt软件管理器安装UFW命令

sudo apt update
sudo apt install ufw

UFW默认情况下处于禁用状态。 您可以使用通过命令检查UFW服务的状态。

打印防火墙的状态
--打印防火墙的状态
root@ubuntu:~# ufw status verbose
Status: inactive

Status: inactive表示防火墙状态为非活动状态
Status: active表示UFW已激活

UFW防火墙的默认行为是阻止所有传入和转发流量,并允许所有出站流量。这意味着除非您打开指定的端口,否则任何尝试访问您的服务器的人都将无法连接。

默认策略在/etc/default/ufw文件中定义,可以通过手动修改该文件或使用sudo ufw default <policy> <chain>命令来更改。

防火墙策略是建立更复杂的用户自定义规则的基础。 通常,最初的UFW默认策略是一个很好的起点。

应用配置文件

应用程序配置文件是INI格式的文本文件,描述了服务的防火墙规则。在安装软件期间,会在/etc/ufw/applications.d目录中创建应用程序配置文件。

您可以通过sudo ufw app list命令列出服务器上所有可用的应用程序配置文件。sudo ufw app info命令可以查找指定配置文件包含的防火墙规则详细信息。

sudo ufw app info 'Nginx Full'命令将会查找Nginx服务的防火墙规则的配置信息。您也可以为应用创建自定义配置文件。

启用UFW

在启用UFW防火墙之前,必须明确允许SSH的连接。否则,您将无法连接到计算机。

sudo ufw allow ssh命令将UFW防火墙配置为允许SSH的连接。如果SSH不是监听默认端口22。则需要打开该端口。

如果您的ssh服务监听端口7722,请运行命令sudo ufw allow 7722/tcp允许该端口上的连接。当已将防火墙配置为允许SSH的连接时,您可以运行命令来启用它。

sudo ufw enable将会启用ubuntu防火墙,并提示你命令可能会中断SSH的连接是否要进行该操作。

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y。只需键入y并按Enter回车

打开端口

根据系统上运行的应用程序,您可能还需要打开其他端口。 打开端口的一般语法是。

ufw allow port_number/protocol

如果未给出协议,则UFW会同时为tcp和udp创建规则。

以下是关于如何允许HTTP连接的几种方法。

  • 第一种选择是使用服务名称。UFW将检查/etc/services文件中服务指定的端口和协议。命令是sudo ufw allow http。
  • 另一个选择是使用应用程序的配置文件。比如命令sudo ufw allow 'Nginx HTTP'将会应用Nginx服务防火墙配置文件,打开端口80和443。

UFW还允许您打开指定的端口范围。起始端口和结束端口用冒号:分隔,并且您必须指定协议tcp或udp。

例如,如果要同时在tcp和udp允许来自7100到7200端口的连接,则可以运行命令sudo ufw allow 7100:7200/tcp。

指定端口号最常用的方式例如命令sudo ufw allow 80将会打开80端口。UFW还支持使用proto关键字指定协议。

sudo ufw allow 80 #tcp和udp
sudo ufw allow 80/tcp #仅tcp
sudo ufw allow proto tcp to any port 80
允许源IP地址接口/网卡

要允许来自指定源IP的连接,请使用from关键字,后跟源地址。如果要仅允许指定的IP地址访问指定的端口,请使用to any port关键字,后跟端口号。

除了允许指定的IP地址之外你还可以指定IP地址的范围,或者是子网。允许IP地址子网的语法与使用单个IP地址时的语法相同。唯一的区别是您需要指定子网掩码。

在允许指定的网络接口上的连接时,请使用in on关键字,后跟接口的名称。

下面是一个示例,显示如何允许从192.168.1.1到192.168.1.254的IP地址,即192.168.1.0/24网段。连接到MySQL端口3360。

sudo ufw allow from 192.168.1.100 #仅允许单IP地址
sudo ufw allow from 192.168.1.100 to any port 3306 #仅允许单IP地址连接3306
sudo ufw allow from 192.168.1.0/24 to any port 3306
sudo ufw allow in on eth2 to any port 3306
拒绝连接

所有传入连接的默认策略均设置为deny,如果您未更改默认策略,除非打开指定端口的连接,否则UFW会阻止所有传入连接。

撰写拒绝规则与撰写允许规则相同。您只需要使用deny关键字而不是allow。

假设您打开了端口80和443,并且服务器受到23.24.25.0/24网络的攻击。要拒绝来自23.24.25.0/24的所有连接。

sudo ufw deny from 23.24.25.0/24命令将会拒绝23.24.25.0/24网段的连接,如果你仅需要拒绝指定IP地址的连接,则不需要添加子网掩码。

你还可以拒绝指定的IP地址连接到指定的端口,例如命令sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443。将会拒绝23.24.25.0/24访问端口80和443的示例:

sudo ufw deny from 23.24.25.100 #拒绝指定的IP连接
sudo ufw deny from 23.24.25.0/24  #整个网段
sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443
防火墙规则

有两种方法删除UFW规则,第一种是通过规则编号,第二种是指定实际规则来删除UFW规则。按规则编号删除ufw防火墙规则比较容易,尤其是您不熟悉UFW时。

如果你要通过规则编号删除规则,您需要找到要删除的规则的编号。要获取规则编号的列表,请使用sudo ufw status numbered命令。

假设要删除的ufw规则编号是3,该规则号允许连接到端口8080。你可运行命令sudo ufw delete 3。

第二种方法是通过指定实际规则来删除规则。例如,如果您打开了8069端口的规则,则可以运行命令sudo ufw delete allow 8069将其删除。

sudo ufw status numbered #查看防火墙的状态
sudo ufw delete 3 #根据编号删除
sudo ufw delete allow 8069 通过规则删除规则
禁用防火墙

如果出于某些原因要停止UFW并停用所有规则,则可以运行命令sudo ufw disable禁用防火墙。

以后,如果您想重新启用ufw并激活所有规则,运行命令sudo ufw enable即可。

重置UFW将禁用UFW,并删除所有活动规则。 如果您不想还原所有更改并重新开始,这将很有帮助。要重置UFW,可以运行命令sudo ufw reset。

sudo ufw disable #禁用
sudo ufw enable #开启
sudo ufw reset #重置
IP伪装

IP伪装是Linux内核中NAT网络地址转换的一种变体,它通过重写源IP地址和目标IP地址端口来转换网络流量。

借助IP伪装,您可以使用一台Linux计算机充当网关,允许私有网络中的一台或多台计算机与互联网通信。

例如VMware或者Virtualbox此类虚拟软件就是通过一个NAT适配器充当网卡,转发多台虚拟机网络数据,连接到互联网。

使用UFW配置IP伪装涉及几个步骤。首先,您需要启用IP转发ip_forward。

请使用你喜欢的编辑器编辑/etc/ufw/sysctl.conf文件。

sudo vim /etc/ufw/sysctl.conf

查找并取消注释以下行:
net/ipv4/ip_forward=1

保存并退出编辑器后。

您还需要配置UFW以允许转发数据包。打开UFW配置文件/etc/default/ufw。找到DEFAULT_FORWARD_POLICY键,然后将值从DROP更改为ACCEPT。

sudo vim /etc/default/ufw

#找到DEFAULT_FORWARD_POLICY改为ACCEPT
DEFAULT_FORWARD_POLICY="ACCEPT"

现在,您需要在nat表中设置POSTROUTING链的默认策略和伪装规则。 请打开/etc/ufw/before.rules文件。

sudo vim /etc/ufw/before.rules
追加以下几行到文件:
#NAT table rules 启用nat 表
*nat
# 允许POSTROUTING 链
:POSTROUTING ACCEPT [0:0]

# 转发eth0接口的数据包,请将eth0更改为你对应的接口
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

注意不要删除COMMIT关键词,它永远是在最后一行。别忘了在-A POSTROUTING行中替换eth0以匹配你的计算机可以连接到互联网的名称。

完成后,保存并关闭文件。最后,通过命令sudo ufw disable禁用和命令sudo ufw enable重新启用UFW重新加载UFW规则。

我们已向您展示了如何在Ubuntu 18.04服务器安装和配置防火墙。在限制所有不必要的连接的同时,请确保允许系统正常运行所需的所有传入连接。文章来源地址https://www.toymoban.com/news/detail-815796.html

到了这里,关于Ubuntu防火墙管理的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • ubuntu防火墙命令介绍

    ubuntu 在开启ufw防火墙前,为了避免与iptables现有规则冲突,建议先清空iptables的所有规则。相关命令如下: 更改iptables规则链默认操作命令如下: 在Ubuntu系统进行安装的时候默认安装了ufw防火墙 查看防火墙的状态 系统提示: “Status: inactive”状态:不活跃 上面提示表示没有

    2023年04月13日
    浏览(66)
  • 在ubuntu下设置防火墙

    ubuntu服务器一直没有开启防火墙,从安全角度不开启有很多风险,因此决定把它打开,具体步骤如下: 进入root权限 状态:不活动 这么做的目的是防止把自己关在外面了,如果你是其他端口,记得把22换成你实际的ssh端口好。 防火墙规则已更新 规则已更新(v6) 完成以上两步后

    2024年02月12日
    浏览(38)
  • ubuntu开启防火墙查看开放端口

    【1】切换用户为root 【2】查看防火墙状态: 【3】如果未激活打开防火墙 此时重启系统然后查看防火墙状态 1.通过netstat 命令查询 【1】查看系统中使用tcp协议的端口号信息 【2】查看系统中所有使用udp协议的端口号 1.lsof -i可以查询指定端口号,以端口号80举例,这样即我的系

    2024年02月04日
    浏览(38)
  • Ubuntu - 查看、开启、关闭和永久关闭防火墙

    在 Ubuntu 中,可以使用 ufw (Uncomplicated Firewall)来管理防火墙。以下是在 Ubuntu 中查看、开启、关闭和永久关闭防火墙的方法: 1. 查看防火墙状态: 要查看 Ubuntu 中 ufw 防火墙的状态,可以执行以下命令: sudo ufw status 这将显示当前防火墙规则的状态,包括是否启用和允许的规

    2024年02月08日
    浏览(41)
  • Ubuntu----Linux命令-----防火墙(查看、关闭、启动)

    一、查看防火墙状态 命令:ufw status 说明:         ·活动:防火墙是开启的         ·不活动:防火墙是关闭的 二、开启防火墙 命令:sudo ufw enable 开启防火墙后,可以查看防火墙状态 三、关闭防火墙 命令:sudo ufw disable

    2024年02月09日
    浏览(42)
  • Ubuntu 使用iptables防火墙和基本配置

    Ubuntu 使用的防火墙是iptables,之前用centos有iptables-services,但是ubuntu略有区别。本文介绍Ubuntu上如何使用iptables并配置自动启动。 这个包可以帮助我们保存iptables规则并在系统启动时自动加载它们。 安装命令: sudo apt-get install iptables-persistent 感谢!(参考于)https://www.jianshu.c

    2024年04月10日
    浏览(44)
  • 防火墙用户管理理论+实验

    目录 注:实验需要有安全策略配置、NAT配置基础 一、防火墙用户管理重要知识点 用户管理 访问控制策略 NGFW下一代防火墙 AAA 鉴别方式——认证 用户认证的分类: 上网用户上线流程: 二、用户认证实验: 实验拓扑 先配置防火墙上接口和区域、地址对象 配置NAT与安全策略

    2024年02月02日
    浏览(105)
  • Linux 防火墙管理工具

    防火墙是作用与内网和外网之间,根据定义的策略来过滤流量的软件或者硬件。在Linux内核中,自带了防火墙模块netfilter,通过netfilter可以是实现网络流量的过过滤,以及NAT、连接跟踪等功能。 通过用户空间的iptables、firewalld等工具,可以实现相关规则的定义,将这些规则传

    2024年02月06日
    浏览(37)
  • Ubuntu 22.04 防火墙设置和开放端口命令

    大家好,我叫徐锦桐,个人博客地址为www.xujintong.com。平时记录一下学习计算机过程中获取的知识,还有日常折腾的经验,欢迎大家来访。 打开防火墙端口的命令总结。 1,查看防火墙状态 Status: inactive — 状态:不活跃,表示没有开启防火墙,并不是没有安装防火墙 Status:

    2024年02月08日
    浏览(48)
  • ubuntu 22.04.1安装雷池开源waf应用防火墙

    雷池waf是开源应用防火墙,国内首创、业内领先的智能语义分析算法 官方网站:https://waf-ce.chaitin.cn/ 官方文档:https://waf-ce.chaitin.cn/docs/ 官方安装文档:https://waf-ce.chaitin.cn/docs/guide/install 在线 demo:https://demo.waf-ce.chaitin.cn:9443/ 操作系统:Linux 指令架构:x86_64 软件依赖:Docke

    2024年02月04日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包