xiaoz之前经常使用的服务器操作系统是Redhat系列的CentOS。然而,自从CentOS Stream变成了RHEL的滚动更新预览版后,xiaoz开始逐渐转向Debian。虽然一开始有些不习惯,但使用了一段时间之后,xiaoz发现Debian仍然非常易用。
就拿防火墙管理这一块来说,我在CentOS下使用firewalld
,转用Debian后,我发现ufw
更加简单易用。本文将分享ufw
的快速上手方法。
关于ufw
ufw(Uncomplicated Firewall)是一个简化的、易于使用的Linux防火墙工具,旨在方便用户管理iptables防火墙规则。它为用户提供了一个直观且易于理解的命令行界面,使得配置防火墙规则变得更加简单。
ufw的一些主要特点和功能:
- 简化的防火墙管理:ufw提供了一个简洁的命令行界面,让您能够轻松地添加、删除和修改防火墙规则。
- 基于iptables:ufw是基于iptables的,因此它与Linux内核中现有的防火墙技术兼容。它实际上是iptables的一个友好的前端。
- 允许和拒绝规则:您可以使用ufw创建允许和拒绝规则,以控制入站和出站流量。这让您可以精确地控制允许哪些连接进入或离开您的系统。
- 放行特定端口、协议和IP:ufw允许您放行特定端口、协议(TCP或UDP)以及特定来源或目标IP地址的连接。
- 限制特定IP访问:您可以使用ufw限制特定IP地址访问您的系统上的特定端口。
- 日志记录:ufw可以记录防火墙活动,这对于监视您的系统安全和解决网络问题非常有用。
- 易于启用和禁用:ufw可以轻松启用和禁用,让您在需要时可以迅速启用防火墙,或在进行系统维护时暂时关闭防火墙。
安装ufw
在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:
# 安装ufw
sudo apt-get update
sudo apt-get install ufw
然后启动ufw
:
# 启动ufw
sudo ufw enable
# 设置为开机自启
sudo systemctl enable ufw
执行sudo ufw status
查看当前状态,通常有3种状态:
- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。
- Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。
- Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
ufw放行端口
ufw
的命令比firewalld
简洁许多,比如你想放行单个端口,只需要执行:
# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。
sudo ufw allow <port>
如果需要放行特定协议的端口,我们需要加上协议:
# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。
sudo ufw allow <port>/<protocol>
放行一个端口范围:
sudo ufw allow <start-port>:<end-port>/<protocol>
将 <start-port>
替换为起始端口号,<end-port>
替换为结束端口号,<protocol>
为协议。例如,要放行 TCP 端口范围 8000 到 9000,可以执行sudo ufw allow 8000:9000/tcp
ufw删除已经放行的规则或端口
要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:
方法1:通过规则号删除
首先,运行以下命令以查看当前ufw的状态和现有规则:
sudo ufw status numbered
这将显示带有编号的规则列表。
确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]
替换为实际的规则编号:
sudo ufw delete [rule_number]
例如,要删除编号为1的规则,运行:
sudo ufw delete 1
方法2:通过放行条件删除
您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:
sudo ufw delete allow 80/tcp
或者,如果要删除允许UDP端口5000的规则,您可以运行:
sudo ufw delete allow 5000/udp
删除规则后,再次运行sudo ufw status
以确认所选规则已从ufw中删除。
阻止某个特定的IP
使用以下命令阻止来自特定IP(例如123.57.22.204)的连接:
sudo ufw deny from 123.57.22.204
允许特定IP访问特定端口
使用以下命令允许特定IP访问特定端口。将[ip_address]
替换为要允许的实际IP地址,将[port_number]
替换为要允许访问的实际端口号,将[protocol]
替换为tcp
或udp
,具体取决于您要放行的协议:
sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
例如,要允许IP地址192.168.1.10
访问TCP端口22
,您可以运行:
sudo ufw allow from 192.168.1.10 to any port 22/tcp
结语
ufw是一个易于使用且功能强大的防火墙管理工具,它使得在Linux系统上配置防火墙规则变得更加简单。无论您是Linux新手还是有经验的管理员,ufw都是一个值得尝试的工具。
我装完后执行下面几条命令后就不管了:
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
systemctl enable ufw
不过有时候ufw不会自启动,所以时不时地我也会用 ufw status 查看一下状态
ufw enable这个命令有个交互式询问,要输入y确认才会启动,如果写到shell里面好像就不会启动(默认过不了交互式 询问)。