溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關Linux中的防火墻ufw怎么用,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
ufw是一個主機端的iptables類防火墻配置工具,比較容易上手。一般桌面應用使用ufw已經可以滿足要求了。
ufw 也有 GUI 客戶端(例如 gufw),但是 ufw 命令通常在命令行上執行的。本文介紹了一些使用 ufw 的命令,并研究了它的工作方式。
首先,快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置,使用 grep 來抑制了空行和注釋(以 # 開頭的行)的顯示。
$ grep -v '^#\|^$' /etc/default/ufw IPV6=yes DEFAULT_INPUT_POLICY="DROP"DEFAULT_OUTPUT_POLICY="ACCEPT"DEFAULT_FORWARD_POLICY="DROP"DEFAULT_APPLICATION_POLICY="SKIP"MANAGE_BUILTINS=no IPT_SYSCTL=/etc/ufw/sysctl.conf IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"
正如你所看到的,默認策略是丟棄輸入但允許輸出。允許你接受特定的連接的其它規則是需要單獨配置的。 ufw 命令的基本語法如下所示,但是這個概要并不意味著你只需要輸入 ufw 就行,而是一個告訴你需要哪些參數的快速提示。
ufw [--dry-run] [options] [rule syntax]
–dry-run 選項意味著 ufw 不會運行你指定的命令,但會顯示給你如果執行后的結果。但是它會顯示假如更改后的整個規則集,因此你要做有好多行輸出的準備。
要檢查 ufw 的狀態,請運行以下命令。注意,即使是這個命令也需要使用 sudo 或 root 賬戶。
$ sudo ufw status Status: active To Action From -- ------ ---- 22 ALLOW 192.168.0.0/24 9090 ALLOW Anywhere 9090 (v6) ALLOW Anywhere (v6)
否則,你會看到以下內容:
$ ufw status ERROR: You need to be root to run this script
加上 verbose 選項會提供一些其它細節:
$ sudo ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22 ALLOW IN 192.168.0.0/24 9090 ALLOW IN Anywhere 9090 (v6) ALLOW IN Anywhere (v6)
你可以使用以下命令輕松地通過端口號允許和拒絕連接:
$ sudo ufw allow 80
你可以查看 /etc/services 文件來找到端口號和服務名稱之間的聯系。
$ grep 80/ /etc/services http 80/tcp www # WorldWideWeb HTTPsocks 1080/tcp # socks proxy serversocks 1080/udp http-alt 8080/tcp webcache # WWW caching servicehttp-alt 8080/udp amanda 10080/tcp # amanda backup servicesamanda 10080/udp canna 5680/tcp # cannaserver
或者,你可以命令中直接使用服務的名稱。
$ sudo ufw allow http Rule added Rule added (v6) $ sudo ufw allow https Rule added Rule added (v6)
進行更改后,你應該再次檢查狀態來查看是否生效:
$ sudo ufw status Status: active To Action From -- ------ ---- 22 ALLOW 192.168.0.0/24 9090 ALLOW Anywhere 80/tcp ALLOW Anywhere
ufw 遵循的規則存儲在 /etc/ufw 目錄中。注意,你需要 root 用戶訪問權限才能查看這些文件,每個文件都包含大量規則。
$ ls -ltr /etc/ufw total 48 -rw-r--r-- 1 root root 1391 Aug 15 2017 sysctl.conf -rw-r----- 1 root root 1004 Aug 17 2017 after.rules -rw-r----- 1 root root 915 Aug 17 2017 after6.rules -rw-r----- 1 root root 1130 Jan 5 2018 before.init -rw-r----- 1 root root 1126 Jan 5 2018 after.init -rw-r----- 1 root root 2537 Mar 25 2019 before.rules -rw-r----- 1 root root 6700 Mar 25 2019 before6.rules drwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d -rw-r--r-- 1 root root 313 Mar 18 17:30 ufw.conf -rw-r----- 1 root root 1711 Mar 19 10:42 user.rules -rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules
本文前面所作的更改,為 http 訪問添加了端口 80 和為 https 訪問添加了端口 443,在 user.rules 和 user6.rules 文件中看起來像這樣:
# grep " 80 " user*.rulesuser6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPT user.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPT You have new mail in /var/mail/root# grep 443 user*.rulesuser6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPT user.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT
使用 ufw,你還可以使用以下命令輕松地阻止來自一個 IP 地址的連接:
$ sudo ufw deny from 208.176.0.50 Rule added
status 命令將顯示更改:
$ sudo ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22 ALLOW IN 192.168.0.0/24 9090 ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 443/tcp ALLOW IN Anywhere Anywhere DENY IN 208.176.0.50
關于“Linux中的防火墻ufw怎么用”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
