【树莓派】配置树莓派防火墙

在使用树莓派的时候，咱们可能受到这样的事情任务，须要为产品配置防火墙，只容许部分端口访问.....等此类需求。

其实树莓派上面配置基本的防火墙很简单，固然你若是是要精细化的去限制某些具体服务，端口等的访问，那就须要再深刻研究一下。

本文简要就Raspberry内置的防火墙ufw设置和启用基本的一些使用作点描述；

 

ufw是一个主机端的iptables类防火墙配置工具，比较容易上手。若是你有一台暴露在外网的树莓派，则可经过这个简单的配置提高安全性。

安装方法

sudo apt-get install ufw

固然，这是有图形界面的(比较简陋)，在新立得里搜索gufw试试……  

使用方法

 启用

sudo ufw enable
sudo ufw default deny

做用：开启了防火墙并随系统启动同时关闭全部外部对本机的访问（本机访问外部正常）。

关闭

sudo ufw disable

　　

查看防火墙状态

sudo ufw status

　　 

开启/禁用相应端口或服务举例  

sudo ufw allow 80 
容许外部访问80端口

sudo ufw delete allow 80 
禁止外部访问80 端口

sudo ufw allow from 192.168.1.1 
容许此IP访问全部的本机端口

sudo ufw deny smtp 
禁止外部访问smtp服务

sudo ufw delete allow smtp 
删除上面创建的某条规则

ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 
要拒绝全部的流量从TCP的10.0.0.0/8 到端口22的地址192.168.0.1

 

能够容许全部RFC1918网络（局域网/无线局域网的）访问这个主机（/8,/16,/12是一种网络分级）：

sudo ufw allow from 10.0.0.0/8

sudo ufw allow from 172.16.0.0/12

sudo ufw allow from 192.168.0.0/16

　　

 

推荐设置

sudo apt-get install ufw

sudo ufw enable

sudo ufw default deny

 

这样设置已经很安全，若是有特殊须要，可使用sudo ufw allow开启相应服务。

================

 

Ubuntu防火墙 UFW 设置

1.安装

sudo apt-get install ufw

 

2.启用

sudo ufw enable

sudo ufw default deny

 

运行以上两条命令后，开启了防火墙，并在系统启动时自动开启。关闭全部外部对本机的访问，但本机访问外部正常。

3.开启/禁用

sudo ufw allow|deny [service]

打开或关闭某个端口，例如：

sudo ufw allow smtp　容许全部的外部IP访问本机的25/tcp (smtp)端口

sudo ufw allow 22/tcp 容许全部的外部IP访问本机的22/tcp (ssh)端口

sudo ufw allow 53 容许外部访问53端口(tcp/udp)

sudo ufw allow from 192.168.1.100 容许此IP访问全部的本机端口

sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

sudo ufw deny smtp 禁止外部访问smtp服务

sudo ufw delete allow smtp 删除上面创建的某条规则

 

4.查看防火墙状态

sudo ufw statu

 

s

通常用户，只需以下设置：

sudo apt-get install ufw

sudo ufw enable

sudo ufw default deny

 

以上三条命令已经足够安全了，若是你须要开放某些服务，再使用sudo ufw allow开启。

开启/关闭防火墙 (默认设置是’disable’)

sudo ufw enable|disable

 

转换日志状态

sudo ufw logging on|off

　　

设置默认策略 (好比 “mostly open” vs “mostly closed”)

sudo ufw default allow|deny

　　

许可或者屏蔽端口 (能够在“status” 中查看到服务列表)。能够用“协议：端口”的方式指定一个存在于/etc/services中的服务名称，也能够经过包的meta-data。 ‘allow’ 参数将把条目加入 /etc/ufw/maps ，而 ‘deny’ 则相反。基本语法以下：

sudo ufw allow|deny [service]

　　

显示防火墙和端口的侦听状态，参见 /var/lib/ufw/maps。括号中的数字将不会被显示出来。

 

sudo ufw status

UFW 使用范例：

容许 53 端口

$ sudo ufw allow 53

禁用 53 端口

$ sudo ufw delete allow 53

容许 80 端口

$ sudo ufw allow 80/tcp

禁用 80 端口

$ sudo ufw delete allow 80/tcp

容许 smtp 端口

$ sudo ufw allow smtp

删除 smtp 端口的许可

$ sudo ufw delete allow smtp

容许某特定 IP

$ sudo ufw allow from 192.168.254.254

删除上面的规则

$ sudo ufw delete allow from 192.168.254.254

 

FAQ 有人遇到启动个失败的问题：

这个开机自启不须要写到/etc/rc.local中，由于ufw自己是开机自启动的。
若是ufw启动失败，多是下载国外资源不完整的问题，能够卸掉从新安装：
sudo apt-get --purge remove ufw

sudo apt-get install ufw
安装时候须要注意，若是安装失败，则从新install几回；

安装以后启动防火墙
sudo ufw enable
sudo ufw default deny

检查系统启动项
sudo chkconfig --add ufw