Ubuntu防火墙ufw-iptables的使用

时间 2019-11-09

标签 ubuntu 防火墙 ufw iptables 使用栏目 Ubuntu 繁體版

原文原文链接

UFW (简单的防火墙) 是普遍使用的 iptables 防火墙的前端应用 , 是一个主机端的iptables类防火墙配置工具，这是很是适合于基于主机的防火墙。UFW 即提供了一套管理网络过滤器的框架，又提供了控制防火墙的命令行界面接口。它给那些不熟悉防火墙概念的 Linux 新用户提供了友好、易使用的用户界面。前端

同时，另外一方面，它也提供了命令行界面，为系统管理员准备了一套复杂的命令，用来设置复杂的防火墙规则。服务器

UFW 对像 Debian、Ubuntu 和 Linux Mint 这些发布版原本说也是上上之选。网络

注明：ufw并非一个防火墙，尽管它叫作Ubuntu firewall，但它自己并无防火墙的功能，它只是一个管理netfilter防火墙的工具，其核心仍是netfilter的iptables
框架

执行更新软件源列表命令：sudo apt-get udpate

安装ufwtcp

执行安装ufw命令： sudo apt-get install ufw  （注：Ubuntu下默认已经安装了ufw了）

开启防火墙工具

注意：在开启防火墙以前，你须要确保你容许了 SSH 链接，不然当你关闭远程链接后，你就没法再连上了。博主本身就曾用这招坑了本身！spa

执行开启防火墙命令： sudo ufw enable

关闭防火墙命令行

执行关闭防火墙命令： sudo ufw disable

重启防火墙（编辑或新增规则后须要重启防火墙才能生效）接口

执行重启防火墙命令： sudo ufw reload

查看防火墙状态ip

执行查看防火墙状态命令： sudo ufw status

查看UFW状态和配置规则

执行查看防火墙状态和配置规则命令： sudo ufw status verbose

开启一个端口

sudo ufw allow 11211           （即：容许外部访问11211端口）

ufw allow 25/tcp # 容许其它主机使用tcp协议访问本机25端口

ufw delete deny 80/tcp # 要删除规则，只要在命令中加入delete就好了

设置容许访问 http

sudo ufw allow 80/tcp

禁用端口

sudo ufw delete allow 11211        （即：禁止外部访问11211端口）

开放指定IP访问

sudo ufw allow from 192.168.31.1  （即：容许192.168.31.1这个IP访问全部的本机端口）

禁用指定IP访问

sudo ufw deny allow from 192.168.31.1  （即：禁止192.168.31.1这个IP访问全部的本机端口）

sudo ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 要拒绝全部的流量从TCP的10.0.0.0/8 到端口22的地址192.168.0.1

删除规则

执行删除规则命令： sudo ufw delete allow from 192.168.31.1  
（即：删除“容许192.168.31.1这个IP访问全部的本机端口的规则”）

删除 smtp 端口的许可
$ sudo ufw delete allow smtp
容许某特定 IP

删除条命令创建的规则，使用：
ufw delete deny 80/tcp

开放指定IP指定端口

sudo ufw allow from 192.168.31.1 to any port 11211 （即：容许192.168.31.1这个IP访问11211这个端口）

为了容许全部 X11 链接，他们使用的端口范围是 6000 ~ 6007，你能够这样配置：

sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

配置子网

当你须要容许 IP 地址从 192.168.1.1 到 192.168.1.254 内全部 IP 的链接时，你能够这样配置：

sudo ufw allow from 192.168.1.1/24

配置子网，并指定端口号

容许 IP 地址从 192.168.1.1 到 192.168.1.254 内全部 IP 的链接访问11211这个端口时，你能够这样配置：

sudo ufw allow from 192.168.1.1/24 to any port 11211

eth0 为公网地址，须要向外开放 80 端口

sudo ufw allow in on eth0 to any port 80

上面配置中，服务器将会接受来自于公网的 HTTP 请求。

MySQL 服务器（监听 3306）只接受经过内网网卡 eth1 的请求，你能够这样：

sudo ufw allow in on eth1 to any port 3306

重置全部规则

执行重置全部规则命令：sudo ufw reset