在Ubuntu 20.04 上使用 UFW 来设置防火墙
只有root 或者其他有 sudo 权限的用户可以管理系统防火墙。推荐以 sudo 用户来运行和管理ufw。
一、查看ufw状态
sudo ufw status
sudo ufw status verbose
默认情况下,ufw阻止所有进来的连接,并允许所有出去的连接。这就意味着任何人无法访问服务器,除非开放服务的端口。
策略文件保存位置:/etc/default/ufw
二、应用配置
列举系统上所有的应用配置
sudo ufw app list
查找更多关于指定配置和包含规则的信息
sudo ufw app info 'Nginx Full'
启用UFW通过ssh
sudo ufw allow ssh
如果指定7722端口提供ssh服务,也可以同通过以下方式允ssh通过ufw
sudo ufw allow 7722/tcp
三、允许连接
打开端口的语法规则如下:
ufw allow port_number/protocol
1、允许HTTP连接
#使用服务名
sudo ufw allow http
#指定端口号和协议
sudo ufw allow 80/tcp
#使用应用程序配置
sudo ufw allow ’Nginx HTTP'
2、ufw允许打开端口范围
如指定从7100到7200端口,同时支持tcp和udp,可以使用命令如下:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
3、允许指定IP访问指定端口
#允许IP为10.10.10.50的所有端口的多有连接通过
sudo ufw allow from 10.10.10.50
#允许从IP为10.10.10.50通过22端口访问
sudo ufw allow from 10.10.10.50 to any port 22
4、允许子网
同允许指定IP不同的是允许子网的访问需要指定网络掩码
#允许IP地址(192.168.1.1到192.168.1.254)通过3306端口
sudo ufw allow from 192.168.1.0/24 to any port 3306
5、允许指定网络接口连接
#允许连接通过指定网卡ens33
sudo ufw allow in on ens33 to any port 3306
四、禁止连接
禁止规则和允许规则的语法是一样的,唯一不同的是禁止用deny,允许用allow
#禁止192.168.1.0/24网段的所有连接
sudo ufw deny from 192.168.1.0/24
#禁止192.168.1.0/24网段对80端口和443端口的访问
sudo ufw deny from 192.168.1.0/24 to any port 80,443
五、删除UFW规则
#查看规则序号
sudo ufw status numbered
#例如要删除序号为3的UFW规则
sudo ufw delete 3
#删除添加443端口的访问规则可使用下面的命令
sudo ufw delete allow 443
六、禁用ufw
禁用ufw将导致所有规则失效
sudo ufw disable
重新启用ufw,并激活所有规则
sudo ufw enable
七、重置ufw
重置ufw将会禁用ufw并删除所有激活的规则,如果你想撤销所有的规则重新配置,可以使用
sudo ufw reset
八、端口转发
第一步:启用IP转发
首先按需要启用IP转发
sudo vim /etc/ufw/sysctl.conf
取消net.ipv4.ip_forwar这一行的注释并将其值修改为1
net/ipv4/ip_forward=1
第二步:
配置ufw允许转发
打开ufw配置文件
sudo vim /etc/default/ufw
定位到DEFAULT_FORWARD_POLICY并将其值从DROP改为ACCEPT
第三步:
设置nat表和伪装规则中默认的POSTROUTING策略
打开/etc/ufw/before.rules
sudo vim /etc/ufw/before.rules
附加下面的行
#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
注意:要将将-A POSTROUTING
一行中的eth0
替换成你的实际网卡
禁用并重新启用UFW
sudo ufw disable
sudo ufw enable