书签

如何在Ubuntu 20.04上用UFW设置一个防火墙?

评论 0 浏览 0 2020-05-09

防火墙是一种用于监控和过滤传入和传出网络流量的工具。它通过定义一套安全规则来确定是否允许或阻止特定的流量。

Open firewall ports in Debian like ...
Open firewall ports in Debian like systems - Ansible module ufw

Ubuntu提供了一个名为UFW(非复杂防火墙)的防火墙配置工具。它是一个用户友好的前端,用于管理iptables防火墙规则。它的主要目标是使防火墙的管理更容易,或者如其名,不复杂。

本文介绍了如何使用UFW工具在Ubuntu 20.04上配置和管理防火墙。正确配置的防火墙是整个系统安全中最重要的方面之一。

先决条件

只有root或具有sudo权限的用户可以管理系统防火墙。最好的做法是以sudo用户的身份运行管理任务。

安装UFW系统

UFW是Ubuntu 20.04标准安装的一部分,应该存在于你的系统中。如果由于某些原因没有安装,你可以通过输入以下内容来安装该软件包:

sudo apt updatesudo apt install ufw

检查UFW的状况

默认情况下,UFW是禁用的。你可以用以下命令检查UFW服务的状态:

sudo ufw status verbose

输出结果将显示防火墙状态为非活动状态:

输出

Status: inactive

如果激活了UFW,输出将类似于下面的内容:

Ubuntu ufw status

UFW 默认策略

UFW防火墙的默认行为是阻止所有传入和转发的流量,允许所有传出的流量。这意味着,任何试图访问你的服务器的人都无法连接,除非你特别打开端口。在你的服务器上运行的应用程序和服务将能够访问外部世界。

默认政策是在/etc/default/ufw文件中定义的,可以通过手动修改该文件或使用sudo ufw default <policy> <chain>命令来改变。

防火墙策略是建立更复杂和用户定义的规则的基础。一般来说,最初的UFW默认策略是一个好的起点。

应用简介

应用程序配置文件是一个INI格式的文本文件,描述服务并包含服务的防火墙规则。在安装软件包的过程中,应用程序配置文件在/etc/ufw/applications.d目录中被创建。

你可以通过键入来列出你的服务器上所有可用的应用程序配置文件:

sudo ufw app list

根据你的系统所安装的软件包,输出结果将类似于下面的内容:

输出

Available applications:
  Nginx Full
  Nginx HTTP
  Nginx HTTPS
  OpenSSH

要想找到关于特定配置文件和所含规则的更多信息,请使用以下命令:

sudo ufw app info 'Nginx Full'

输出结果显示,"Nginx Full"配置文件打开了80443端口。

输出

Profile: Nginx Full
Title: Web Server (Nginx, HTTP + HTTPS)
Description: Small, but very powerful and efficient web server

Ports:
  80,443/tcp

你还可以为你的应用程序创建自定义的配置文件。

启用UFW

如果你从远程位置连接到你的Ubuntu,在启用UFW防火墙之前,你必须明确地允许传入SSH连接。否则,你将无法再连接到机器上。

要配置你的UFW防火墙,以允许传入的SSH连接,请键入以下命令:

sudo ufw allow ssh

输出

Rules updated
Rules updated (v6)

如果SSH在一个非标准端口上运行,你需要打开该端口。

例如,如果你的ssh守护进程在端口7722上进行监听,输入下面的命令就可以允许在该端口上进行连接:

sudo ufw allow 7722/tcp

现在,防火墙已被配置为允许传入的SSH连接,你可以通过输入以下内容来启用它:

sudo ufw enable

输出

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

你会被警告说,启用防火墙可能会破坏现有的ssh连接,只要输入y,然后点击Enter即可。

打开端口

根据系统上运行的应用程序,你可能还需要打开其他端口。打开一个端口的一般语法如下:

ufw allow port_number/protocol

下面是一些关于如何允许HTTP连接的方法。

第一个选项是使用服务名称。UFW检查/etc/services文件中指定服务的端口和协议:

sudo ufw allow http

你还可以指定端口号,以及协议:

sudo ufw allow 80/tcp

当没有给出协议时,UFW同时为tcpudp创建了规则。

另一个选择是使用应用程序配置文件;在本例中,是 "Nginx HTTP":

sudo ufw allow 'Nginx HTTP'

UFW还支持另一种语法,即使用proto关键字来指定协议:

sudo ufw allow proto tcp to any port 80

端口范围

UFW也允许你打开端口范围。开始和结束的端口用冒号(:)隔开,你必须指定协议,可以是tcpudp

例如,如果你想在tcpudp上允许从71007200的端口,你可以运行下面的命令:

sudo ufw allow 7100:7200/tcpsudo ufw allow 7100:7200/udp

特定的IP地址和端口

要允许来自一个给定的源IP的所有端口的连接,请使用from关键字,后面跟着源地址。

下面是一个将IP地址列入白名单的例子:

sudo ufw allow from 64.63.62.61

如果你想只允许给定的IP地址访问一个特定的端口,请使用to any port关键字,后面跟上端口号。

例如,要允许从IP地址为64.63.62.61的机器上访问22端口,请输入::

sudo ufw allow from 64.63.62.61 to any port 22

子网

允许连接到一个IP地址子网的语法与使用单个IP地址时相同。唯一的区别是,你需要指定网络掩码。

下面是一个例子,显示了如何允许从192.168.1.1192.168.1.254的IP地址访问端口3360MySQL):

sudo ufw allow from 192.168.1.0/24 to any port 3306

特定的网络接口

要允许在一个特定的网络接口上的连接,使用in on关键字,后面跟上网络接口的名称:

sudo ufw allow in on eth2 to any port 3306

拒绝接受连接

所有传入连接的默认策略被设置为deny,如果你没有改变它,UFW将阻止所有传入的连接,除非你特意打开连接。

编写拒绝规则和编写允许规则是一样的;你只需要使用deny关键字而不是allow

假设你打开了80443端口,而你的服务器正受到来自23.24.25.0/24网络的攻击。要拒绝来自23.24.25.0/24的所有连接,你可以运行以下命令:

sudo ufw deny from 23.24.25.0/24

下面是一个只拒绝来自23.24.25.0/24的端口80443的访问的例子,你可以使用下面的命令:

sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443

删除 UFW 规则

有两种不同的方式来删除UFW规则,一种是通过规则编号,另一种是通过指定实际的规则。

按规则编号删除规则比较容易,特别是当您是UFW的新手时。要按规则编号删除规则,首先需要找到你要删除的规则的编号。要获得一个编号的规则列表,请使用ufw status numbered命令:

sudo ufw status numbered

输出

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 80/tcp                     ALLOW IN    Anywhere
[ 3] 8080/tcp                   ALLOW IN    Anywhere

要删除规则编号3,即允许连接到端口8080的那个规则,你要输入:

sudo ufw delete 3

第二种方法是通过指定实际的规则来删除一个规则。例如,如果你添加了一个打开端口8069的规则,你可以用以下方法删除它:

sudo ufw delete allow 8069

禁用UFW的功能

如果出于任何原因,你想停止UFW,并停用所有的规则,你可以使用:

sudo ufw disable

以后如果你想重新启用UTF并激活所有的规则,只需键入:

sudo ufw enable

重置UFW

重置UFW将禁用UFW,并删除所有活动规则。如果你想恢复所有的变化并重新开始,这很有帮助。

要重新设置UFW,请键入以下命令:

sudo ufw reset

IP 伪装

IP伪装是Linux内核中NAT(网络地址转换)的一个变种,它通过重写源和目的IP地址和端口来翻译网络流量。通过IP掩饰,你可以允许一个或多个私人网络中的机器使用一台作为网关的Linux机器与互联网通信。

用UFW配置IP伪装涉及到几个步骤。

首先,你需要启用IP转发。要做到这一点,打开/etc/ufw/sysctl.conf文件:

sudo nano /etc/ufw/sysctl.conf

找到并取消对写有net.ipv4.ip_forward = 1的那一行的注释:

/etc/ufw/sysctl.conf
net/ipv4/ip_forward=1

接下来,你需要配置UFW以允许转发的数据包。打开UFW的配置文件:

sudo nano /etc/default/ufw

找到DEFAULT_FORWARD_POLICY键,并将数值从DROP改为ACCEPT

/etc/default/ufw
DEFAULT_FORWARD_POLICY="ACCEPT"

现在你需要为nat表中的POSTROUTING链和伪装规则设置默认策略。要做到这一点,请打开/etc/ufw/before.rules文件,并添加黄色标示的行,如下图所示:

sudo nano /etc/ufw/before.rules

添加以下几行内容:

/etc/ufw/before.rules
#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]

# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

不要忘记替换-A POSTROUTING行中的eth0,使之与公共网络接口的名称相匹配:

当你完成后,保存并关闭该文件。

最后,通过禁用和重新启用UFW来重新加载UFW的规则:

$ sudo ufw disable
$ sudo ufw enable

总结

我们已经告诉你如何在Ubuntu 20.04服务器上安装和配置UFW防火墙。请确保允许所有对你的系统的正常运行有必要的传入连接,同时限制所有不必要的连接。

有关该主题的更多信息,请访问UFW手册页

如果你有问题,请随时在下面留言。

最后更新2023-05-25
0 个评论
标签
ubuntu ufw firewall iptables security