Ubuntu系统中防火墙UFW设置方法步骤.docx
《Ubuntu系统中防火墙UFW设置方法步骤.docx》由会员分享,可在线阅读,更多相关《Ubuntu系统中防火墙UFW设置方法步骤.docx(9页珍藏版)》请在冰点文库上搜索。
Ubuntu系统中防火墙UFW设置方法步骤
Ubuntu系统中防火墙UFW设置方法步骤
Ubuntu系统中防火墙UFW设置方法步骤加城.4版本以后的Linux内核中,提供了一个非常优秀的防火墙工具。
这个工具能够对出入服务的网络数据进行分割、过滤、转发等等细微的控制,进而实现诸如防火墙、NAT等功能,下面一起看看详细步骤
方法步骤
一般来讲,我们会使用名气比拟的大iptables等程序对这个防火墙的规则进行管理。
iptables能够灵敏的定义防火墙规则,功能非常强大。
但是由此产生的副作用便是配置过于复杂。
一向以简单易用著称Ubuntu在它的发行版中,附带了一个相对iptables简单很多的防火墙配置工具:
ufw。
ufw默认是没有启用的。
也就是讲,ubuntu中的端口默认都是开放的。
使用如下命令启动ufw:
$sudoufwdefaultdeny
$sudoufwenable
通过第一命令,我们设置默认的规则为allow,这样除非指明打开的端口,否则所有端口默认都是关闭的。
第二个命令则启动了ufw。
假如下次重新启动机器,ufw也会自动启动。
对于大部分防火墙操作来讲,其实无非就是的打开关闭端口。
假如要打开SSH服务器的22端口,我们能够这样:
$sudoufwallow22
由于在/etc/services中,22端口对应的服务名是ssh。
所下面面的命令是一样的:
$sudoufwallowssh
如今能够通过下面命令来查看防火墙的状态了:
$sudoufwstatus
Firewallloaded
ToActionFrom
-
22:
tcpALLOWAnywhere
22:
udpALLOWAnywhere
我们能够看到,22端口的tcp和udp协议都打开了。
删除已经添加过的规则:
$sudoufwdeleteallow22
只打开使用tcp/ip协议的22端口:
$sudoufwallow22/tcp
打开来自192.168.0.1的tcp请求的80端口:
$sudoufwallowprototcpfrom192.168.0.1toanyport22
要关系防火墙:
$suduufwdisable
ubuntu下的ufw防火墙配置
UFW防火墙是一个主机端的iptables类防火墙配置工具。
这个工具的目的是提供应用户一个能够轻松驾驭的界面,就像包集成和动态检测开放的端口一样。
在Ubuntu中安装UFW:
目前这个包存在于Ubuntu8.04的库中。
sudoapt-getinstallufw
上面这行命令将把软件安装到您系统中。
开启/关闭防火墙(默认设置是disable)
#ufwenable|disable
转换日志状态
#ufwloggingon|off
设置默认策略(比方mostlyopenvsmostlyclosed)
#ufwdefaultallow|deny
许可或者屏蔽某些入埠的包(能够在status中查看到服务列表[见后文])。
能够用协议:
端口的方式指定一个存在于/etc/services中的服务名称,可以以通过包的meta-data。
allow参数将把条目参加/etc/ufw/maps,而deny则相反。
基本语法如下:
#ufwallow|deny[service]
显示防火墙和端口的侦听状态,参见/var/lib/ufw/maps。
括号中的数字将不会被显示出来。
#ufwstatus
[注意:
上文中固然没有使用sudo,但是命令提示符号都是#。
所以你知道啥意思了哈。
原文如此。
──译者注]
UFW使用范例:
允许53端口
$sudoufwallow53
禁用53端口
$sudoufwdeleteallow53
允许80端口
$sudoufwallow80/tcp
禁用80端口
$sudoufwdeleteallow80/tcp
允许smtp端口
$sudoufwallowsmtp
删除smtp端口的许可
$sudoufwdeleteallowsmtp
允许某特定IP
$sudoufwallowfrom192.168.254.254
删除上面的规则
$sudoufwdeleteallowfrom192.168.254.254
我本人还用7.10呢,所以翻译的经过中上面步骤没经过试验。
Ubuntu的名字都很别嘴,一直记不住:
*Ubuntu6.06LTS(DapperDrake)
*Ubuntu6.10(EdgyEft)
*Ubuntu7.04(FeistyFawn)
*Ubuntu7.10(GutsyGibbon)
*Ubuntu8.04(HardyHeron)
ubuntu防火墙
ufw是Ubuntu下的一个简易的防火墙配置工具,底层还是调用iptables来处理的,固然功能较简单,但对桌面型应用来讲比拟实用,基本常用功能都有,使用也较为容易。
==鱼漂(#163)原创,转载请注明==
1.安装
sudoapt-getinstallufw
2.启用
sudoufwenable
sudoufwdefaultdeny
运行以上两条命令后,开启了防火墙,并在系统启动时自动开启。
关闭所有外部对本机的访问,但本机访问外部正常。
3.开启/禁用
sudoufwallow|deny[service]
打开或关闭某个端口,例如:
sudoufwallowsmtp允许所有的外部IP访问本机的25/tcp(smtp)端口
sudoufwallow22/tcp允许所有的外部IP访问本机的22/tcp(ssh)端口
sudoufwallow53允许外部访问53端口(tcp/udp)
sudoufwallowfrom192.168.1.100允许此IP访问所有的本机端口
sudoufwallowprotoudp192.168.0.1port53to192.168.0.2port53
sudoufwdenysmtp禁止外部访问smtp服务
sudoufwdeleteallowsmtp删除上面建立的某条规则
4.查看防火墙状态
sudoufwstatus
一般用户,只需如下设置:
sudoapt-getinstallufw
sudoufwenable
sudodefaultdeny
以上三条命令已经足够安全了,假如你需要开放某些服务,再使用sudoufwallow开启。
Ubuntu防火墙UFW设置简介
1.安装
sudoapt-getinstallufw
2.启用
sudoufwenable
sudoufwdefaultdeny
运行以上两条命令后,开启了防火墙,并在系统启动时自动开启。
关闭所有外部对本机的访问,但本机访问外部正常。
3.开启/禁用
sudoufwallow|deny[service]
打开或关闭某个端口,例如:
sudoufwallowsmtp允许所有的外部IP访问本机的25/tcp(smtp)端口
sudoufwallow22/tcp允许所有的外部IP访问本机的22/tcp(ssh)端口
sudoufwallow53允许外部访问53端口(tcp/udp)
sudoufwallowfrom192.168.1.100允许此IP访问所有的本机端口
sudoufwallowprotoudp192.168.0.1port53to192.168.0.2port53
sudoufwdenysmtp禁止外部访问smtp服务
sudoufwdeleteallowsmtp删除上面建立的某条规则
4.查看防火墙状态
sudoufwstatus
一般用户,只需如下设置:
sudoapt-getinstallufw
sudoufwenable
sudoufwdefaultdeny
以上三条命令已经足够安全了,假如你需要开放某些服务,再使用sudoufwallow开启。
开启/关闭防火墙(默认设置是disable)
sudoufwenable|disable
转换日志状态
sudoufwloggingon|off
设置默认策略(比方mostlyopenvsmostlyclosed)
sudoufwdefaultallow|deny
许可或者屏蔽端口(能够在status中查看到服务列表)。
能够用协议:
端口的方式指定一个存在于/etc/services中的服务名称,可以以通过包的meta-data。
allow参数将把条目参加/etc/ufw/maps,而deny则相反。
基本语法如下:
sudoufwallow|deny[service]
显示防火墙和端口的侦听状态,参见/var/lib/ufw/maps。
括号中的数字将不会被显示出来。
sudoufwstatus
UFW使用范例:
允许53端口
$sudoufwallow53
禁用53端口
$sudoufwdeleteallow53
允许80端口
$sudoufwallow80/tcp
禁用80端口
$sudoufwdeleteallow80/tcp
允许smtp端口
$sudoufwallowsmtp
删除smtp端口的许可
$sudoufwdeleteallowsmtp
允许某特定IP
$sudoufwallowfrom192.168.254.254
删除上面的规则
$sudoufwdeleteallowfrom192.168.254.254
补充浏览:
防火墙主要使用技巧
一、所有的防火墙文件规则必须更改。
尽管这种方法听起来很容易,但是由于防火墙没有内置的变动管理流程,因而文件更改对于很多企业来讲都不是最佳的实践方法。
假如防火墙管理员由于突发情况或者一些其他形式的业务中断做出更改,那么他撞到枪口上的可能性就会比拟大。
但是假如这种更改抵消了之前的协议更改,会导致宕机吗?
这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础,因而团队的所有成员都必须达成共鸣,观察谁进行了何种更改。
这样就能及时发现并修理故障,让整个协议管理愈加简单和高效。
二、以最小的权限安装所有的访问规则。
另一个常见的安全问题是权限过度的规则设置。
防火墙规则是由三个域构成的:
即源(IP地址),目的地(网络/子网络)和服务(应用软件或者其他目的地)。
为了确保每个用户都有足够的端口来访问他们所需的系统,常用方法是在一个或者更多域内指定打来那个的目的对象。
当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络,这些规则就会变得权限过度释放,因而就会增加不安全因素。
服务域的规则是开放65535个TCP端口的ANY。
防火墙管理员真的就意味着为黑客开放了65535个攻击矢量?
三、根据法规协议和更改需求来校验每项防火墙的更改。
在防火墙操作中,日常工作都是以寻找问题,修正问题和安装新系统为中心的。
在安装最新防火墙规则来解决问题,应用新产品和业务部门的经过中,我们经常会遗忘防火墙也是企业安全协议的物理执行者。
每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神,而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则。
规则膨胀是防火墙经常会出现的安全问题,由于多数运作团队都没有删除规则的流程。
业务部门擅于让你知道他们了解这些新规则,却从来不会让防火墙团队知道他们不再使用某些服务了。
了解退役的服务器和网络以及应用软件更新周期对于达成规则共鸣是个好的开场。
运行无用规则的报表是另外一步。
黑客喜欢从来不删除规则的防火墙团队。
Ubuntu系统中防火墙UFW设置方法步骤
升级会员 