Ubuntu 防火墙与端口控制

时间 2019-11-07

原文原文链接

1.扫描端口前端

用ubuntu自带的网络工具中的端口扫描不够强大，扫描结果可能不全，推荐用nmap，黑客经常使用的端口扫描利器！安装方法：sudo apt-get install nmap ,想扫描端口nmap后加上域名或者ip便可。下面扫描本地端口：nmap localhostmysql

2.查看端口进程sql

命令：sudo lsof -i :port(port改成你要查询的端口)；apache

命令：sudo netstat -nap|grep port(最后一行显示进程号)ubuntu

3.启动｜中止｜重启端口安全

大致有三种方式网络

（1）像apache2 ，mysql这样的端口，直接sudo service apache2 stop(|start|restart)便可ssh

（2）有些端口没法用服务关闭，能够考虑sudo /etc/init.d/service start|stop|restarttcp

（3）若是还没法关闭，再试试杀死进程：sudo kill PID，PID为端口服务进程号，上面已经介绍了查看进程号的命令。工具

转载自沧浪轩

开启端口 ubuntu使用

ubuntu中使用ufw 看是否安装和启用:

sudo dpkg --get-selections | grep ufw

sudo apt-get install ufw

你应该检查下 UFW 是否已经在运行

sudo ufw status

若是你发现状态是： inactive , 意思是没有被激活或不起做用。

启用:

sudo ufw enable

禁用:

sudo ufw disable

在防火墙被激活后，你能够向里面添加你本身的规则。若是你想看看默认的规则，能够输入

sudo ufw status verbose

Status: active

Logging: on (low)

Default: deny (incoming), allow (outgoing)

New profiles: skip

$

默认是不容许全部外部访问链接的。若是你想远程链接你的机器，就得开放相应的端口。例如，你想用 ssh 来链接，下面是添加的命令

sudo ufw allow ssh 或者看尼ssh配置的是哪一个端口直接 sudo ufw allow 22 (通常默认的是22,路径看:http://blog.csdn.net/wang794686714/article/details/39100157,最后部分)

sudo ufw status

To Action From

-- ----------- ------

22 ALLOW Anywhere

22 ALLOW Anywhere (v6)

若是你有不少条规则，想快速的在每条规则上加个序号数字的话，请使用 numbered 参数。

sudo ufw status numbered

第一条规则的意思是全部经过22端口访问机器的 tcp 或 udp 数据包都是容许的。若是你但愿仅容许 tcp 数据包访问应该怎么办？能够在服务端口后加个 tcp 参数。下面的示例及相应的输出。

sudo ufw allow ssh/tcp 或 ufw allow 22/tcp

添加拒绝规则也是一样的招数。咱们假设你想拒绝 ftp 访问, 你只需输入

sudo ufw deny ftp

添加特定端口

有时候，咱们会自定义一个端口而不是使用标准提供的。让咱们试着把机器上 ssh 的 22 端口换成 2290 端口，而后容许从 2290 端口访问，咱们像这样添加：

sudo ufw allow 2290

你也能够把端口范围添加进规则。若是咱们想打开从 2290到2300 的端口以供 tcp 协议使用，命令以下示：

sudo ufw allow 2290:2300/tcp

样你想使用 udp 的话，以下操做。

sudo ufw allow 2290:2300/udp

请注意你得明确的指定是 ‘tcp’ 或 ‘udp’，不然会出现跟下面相似的错误信息。

ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports

添加特定 IP

前面咱们添加的规则都是基于服务程序或端口的，UFW 也能够添加基于 IP 地址的规则。下面是命令样例。

sudo ufw allow from 192.168.0.104

你也可使用子网掩码来扩宽范围。

sudo ufw allow form 192.168.0.0/24

你也可使用子网掩码来扩宽范围。

sudo ufw allow form 192.168.0.0/24

To Action From

-- ----------- ------

Anywhere ALLOW 192.168.0.104

Anywhere ALLOW 192.168.0.0 /24

如你所见， from 参数仅仅限制链接的来源，而目的（用 To 列表示）是全部地方

sudo ufw allow to any port 22

上面的命令会容许从任何地方以及任何协议均可以访问22端口。

组合参数

对于更具体的规则，你也能够把 IP 地址、协议和端口这些组合在一块儿用。咱们想建立一条规则，限制仅仅来自于 192.168.0.104 的 IP ，并且只能使用 tcp 协议和经过 22端口来访问本地资源。咱们能够用以下所示的命令。

sudo ufw allow from 192.168.0.104 proto tcp to any port 22

建立拒绝规则的命令和容许的规则相似，仅须要把 allow 参数换成 deny 参数就能够。

删除规则

sudo ufw delete allow ftp

方法二:

sudo ufw delete allow ssh

或者

sudo ufw delete allow 22 /tcp

会出现以下所示的一些错误:

Could not delete non-existent rule

Could not delete non-existent rule (v6)

咱们还有一招。上面已经提到过，能够序列数字来代替你想删除的规则。让咱们试试。

sudo ufw status numbered

而后咱们删除正在使用的第一条规则。按 “ y ” 就会永久的删除这条规则。

sudo ufw delete 1

Deleting :

Allow from 192.168.0.104 to any port 22 proto tcp

Proceed with operation (y|n)? y

从这些用法中你就能够发现它们的不一样。方法2 在删除前须要用户确认，而方法1 不须要。

重置全部规则

sudo ufw reset

Resetting all rules to installed defaults. Proceed with operation (y|n)? y

若是你输入“ y ”， UFW 在重置你的 ufw 前会备份全部已经存在规则，而后重置。重置操做也会使你的防火墙处于不可用状态，若是你想使用得再一次启用它。

高级功能

正如我上面所说，UFW防火墙可以作到iptables能够作到的一切。这是经过一些规则文件来完成的，他们只不过是iptables-restore 所对应的文本文件而已。是否能够经过 ufw 命令微调 UFW 的与/或逻辑来增长 iptables 命令其实就是编辑几个文本文件的事。

/etc/default/ufw: 默认策略的主配置文件，支持 IPv6 和内核模块。
/etc/ufw/before[6].rules: 经过 ufw 命令添加进规则以前里面存在的规则会首先计算。
/etc/ufw/after[6].rules: 经过 ufw 命令添加进规则以后里面存在的规则会进行计算。
/etc/ufw/sysctl.conf: 内核网络可调参数。
/etc/ufw/ufw.conf: 设置系统启动时 UFW 是否可用，和设置日志级别。

结论

UFW 做为 iptables 的前端应用，给用户提供了简单的接口界面。使用着不须要去记很是复杂的 iptables 语法。UFW 也使用了‘ 简单英语 ’做为它的参数。

像 Allow、deny、reset 就是他们当中的一部分。我相信有不少不少 iptables 前端应用，但 UFW 绝对是那些想要快速、简单的就创建本身的防火墙，并且还很安全的用户的最佳替代品之一。请输入 man ufw 查看 ufw 用户手册，来了解更多详情。

via: http://www.tecmint.com/how-to-install-and-configure-ufw-firewall/

译者：runningwater 校对：Caroline

加个广告：

各位ITer若是身边有朋友，亲人作工程的，请推荐一下咱们的这个网站 www.17heli.com 免费提供工程信息，同时使用APP能够提供在线人工客服找项目，介绍人脉，成功率高。谢谢啦。