设置默认值
就像使用iptables一样,最好通过设置默认行为开始。
我们可能希望拒绝传入流量并允许来自计算机的连接。
$sudo ufw default deny incoming
允许流量的语法相似。
$sudo ufw default allow outgoing
为Web服务器设置防火墙示例
默认拒绝所有流量:
$sudo ufw default deny incoming $sudo ufw default deny outgoing $sudo ufw default deny forward
启用入站和出站Web流量。
$sudo ufw allow http $sudo ufw allow out http $sudo ufw allow https $sudo ufw allow out https
允许ssh流量
$sudo ufw allow ssh $sudo ufw allow out ssh
服务器可能使用NTP来保持系统时钟。
$sudo ufw allow ntp $sudo ufw allow out ntp
需要DNS更新服务。
$sudo ufw allow 53 $sudo ufw allow out 53
设置桌面系统示例
首先设置默认值。
$sudo ufw default deny incoming $sudo ufw default allow outgoing
接下来,允许HTTP和HTTPS流量。
$sudo ufw allow http $sudo ufw allow https
允许ssh流量
$sudo ufw allow ssh
大多数桌面依赖于系统时间的NTP。
$sudo ufw allow ntp
除非我们使用静态IP,否则允许DHCP。
DHCP的端口号是67和68.
$sudo ufw allow 67:68/tcp
要上网,我们需要域名解析服务。
DNS的端口为53.
$sudo ufw allow 53
打开某个软件使用的端口范围:
$sudo ufw allow 56881:56889/tcp
安装UFW
它在Debian和Ubuntu的存储库中都可用。
$sudo apt install ufw
基本用法
开始和停止ufw服务
我们可以使用SystemD来控制UFW,但它有自己更容易的控制。
首先启用和启动UFW。
$sudo ufw enable
现在停止ufw。
这同时在系统引导期间禁用自启动ufw。
$sudo ufw disable
检查UFW是否正在运行:
$sudo ufw status
UFW命令
允许入站HTTP流量。
如果我们想查看网站或者从互联网下载任何内容,这是必要的。
$sudo ufw allow http
允许ssh流量入站:
$sudo ufw allow ssh
使用端口号(允许https流量入站):
$sudo ufw allow 443
允许来自特定IP地址或者地址范围的流量:
$sudo ufw allow 192.168.1.0/24
允许TCP或者UDP的端口范围:
$sudo ufw allow 56881:56889/tcp
使用deny
拒绝来自某个IP的流量:
$sudo ufw deny 192.168.1.110
使用out控制出站流量:
$sudo ufw allow out ssh
日期:2020-07-07 20:57:01 来源:oir作者:oir