Linux操作系统-12-ufw

本文主要是介绍Linux操作系统-12-ufw，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

在Ubuntu 20.04 上使用 UFW 来设置防火墙

只有root 或者其他有 sudo 权限的用户可以管理系统防火墙。推荐以 sudo 用户来运行和管理ufw。

一、查看ufw状态

sudo ufw status 
sudo ufw status verbose

默认情况下，ufw阻止所有进来的连接，并允许所有出去的连接。这就意味着任何人无法访问服务器，除非开放服务的端口。

策略文件保存位置：/etc/default/ufw

二、应用配置

列举系统上所有的应用配置

sudo ufw app list

查找更多关于指定配置和包含规则的信息

sudo ufw app info 'Nginx Full'

启用UFW通过ssh

sudo ufw allow ssh

如果指定7722端口提供ssh服务，也可以同通过以下方式允ssh通过ufw

sudo ufw allow 7722/tcp

三、允许连接

打开端口的语法规则如下：

ufw allow port_number/protocol

１、允许HTTP连接

#使用服务名
sudo ufw allow http
#指定端口号和协议
sudo ufw allow 80/tcp
#使用应用程序配置
sudo ufw allow ’Nginx HTTP'

２、ufw允许打开端口范围

如指定从7100到7200端口，同时支持tcp和udp，可以使用命令如下：

sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp

３、允许指定IP访问指定端口

#允许IP为10.10.10.50的所有端口的多有连接通过
sudo ufw allow from 10.10.10.50#允许从IP为10.10.10.50通过22端口访问
sudo ufw allow from 10.10.10.50 to any port 22

４、允许子网

同允许指定IP不同的是允许子网的访问需要指定网络掩码

#允许IP地址（192.168.1.1到192.168.1.254）通过3306端口
sudo ufw allow from 192.168.1.0/24 to any port 3306

５、允许指定网络接口连接

#允许连接通过指定网卡ens33
sudo ufw allow in on ens33 to any port 3306

四、禁止连接

禁止规则和允许规则的语法是一样的，唯一不同的是禁止用deny，允许用allow

#禁止192.168.1.0/24网段的所有连接
sudo ufw deny from 192.168.1.0/24
#禁止192.168.1.0/24网段对80端口和443端口的访问
sudo ufw deny from 192.168.1.0/24 to any port 80,443

五、删除UFW规则

#查看规则序号
sudo ufw status numbered#例如要删除序号为3的UFW规则
sudo ufw delete　3
＃删除添加443端口的访问规则可使用下面的命令
sudo ufw delete allow 443

六、禁用ufw

禁用ufw将导致所有规则失效

sudo ufw disable

重新启用ufw，并激活所有规则

sudo ufw enable

七、重置ufw

重置ufw将会禁用ufw并删除所有激活的规则，如果你想撤销所有的规则重新配置，可以使用

sudo ufw reset

八、端口转发

第一步：启用IP转发

首先按需要启用IP转发

sudo vim /etc/ufw/sysctl.conf

取消net.ipv4.ip_forwar这一行的注释并将其值修改为１

net/ipv4/ip_forward=1

第二步：

配置ufw允许转发

打开ufw配置文件

sudo vim /etc/default/ufw

定位到DEFAULT_FORWARD_POLICY并将其值从DROP改为ACCEPT

第三步：

设置nat表和伪装规则中默认的POSTROUTING策略

打开/etc/ufw/before.rules

sudo vim /etc/ufw/before.rules

附加下面的行

#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

注意：要将将-A POSTROUTING一行中的eth0替换成你的实际网卡

禁用并重新启用UFW

sudo ufw disable
sudo ufw enable

这篇关于Linux操作系统-12-ufw的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---