ubuntu防火墙使用的是iptables。
为了简化iptables设置,ubuntu提供了一个名为ufw的工具。
本文主要介绍ufw使用方法。
如果ufw没有安装,那么可以使用如下命令安装:
sudo apt-get install ufw
安装完毕使用如下命令开启防火墙:
sudo ufw enable
防火墙开启后,使用如下命令,设置一个缺省策略:
sudo ufw default deny
这个缺省策略是默认拒绝一切请求。如果没有需要开放服务,那么这样就可以放心用了。
不过实际工作中,服务器总是要提供一些服务的。
下面介绍一些常用的设置。
1.开放访问权限给指定主机IP
管理终端IP经常是固定的IP。所以这个设置方法经常用到。假设管理终端IP为192.168.1.66
sudo ufw allow from 192.168.1.66
然后使用如下命令看下添加后的策略:
sudo ufw status
如图所示,已经看到IP出现在列表中。
2.开放端口
这个情况也比较常见,比如开放web服务80端口。
命令如下:
sudo ufw allow 80/tcp
这个命令允许使用tcp协议连接到服务器80端口。
如果不想限定协议,将tcp去除,即表示80端口可以在任意协议下连接。
sudo ufw allow 80
除了使用alllow关键字设置允许访问的策略,还可以使用deny关键字设置拒绝访问的策略。
下面的语句将设置在tcp协议下拒绝192.168.1.66访问主机的端口22
sudo ufw deny proto tcp from 192.168.1.66 to 192.168.1.242 port 22
另外一个省事且直观的方法就是直接使用服务的名字来定义策略。
比如smtp
sudo ufw allow smtp
在/etc/services文件中定义了很多服务名对应的端口,只要里面有的服务名字,都可以用上面的方法来设置。
有时有要开放一段连续的端口访问权限,当然每个端口写一条是可以的。不过下面这中方法比较省事:
sudo ufw allow 41901-41910
一条设置开放41901-41910十个端口。
3.删除策略
一口气设置了好几条策略,都是我服务器用不上的。现在我要删除这些策略。实际工作中也会遇到,不过建议执行之前要慎重。
删除一条策略要使用delete关键字,语法如下:
这里注意黄框的部分,这句执行报错。原因是,设置的时候80限定的是tcp协议,删除的时候没有写tcp关键字,就报错了。
策略修改过后,要使用reload重启生效。
sudo ufw reload
原文链接:https://blog.csdn.net/bigwood99/article/details/108126107
