如何在ubuntu 18.04上使用ufw设置防火墙

正确配置的防火墙是整个系统安全的最重要方面之一。 默认情况下，Ubuntu附带了一个名为UFW（非复杂防火墙）的防火墙配置工具。 UFW是用于管理iptables防火墙规则的用户友好型前端，其主要目标是使iptables的管理更容易，或者名称不复杂。

先决条件

在开始本教程之前，请确保您使用具有sudo特权的用户帐户或root用户登录到服务器。 最佳实践是以sudo用户而不是root用户身份运行管理命令。 如果您在Ubuntu系统上没有sudo用户，则可以按照以下说明创建一个。

安装UFW

默认情况下，应在Ubuntu 18.04中安装“不复杂的防火墙”，但是如果您的系统上未安装，则可以通过键入以下内容安装软件包：

sudo apt install ufw

检查UFW状态

安装完成后，您可以使用以下命令检查UFW的状态：

sudo ufw status verbose

UFW默认情况下处于禁用状态。 如果您以前从未激活过UFW，则输出将如下所示：

Status: inactive

如果激活了UFW，则输出将类似于以下内容：

UFW默认策略

默认情况下，UFW将阻止所有传入连接并允许所有出站连接。 这意味着，除非您专门打开端口，否则尝试访问服务器的任何人都将无法连接，而服务器上运行的所有应用程序和服务都将可以访问外部环境。

默认策略在 /etc/default/ufw 文件中定义，可以使用 sudo ufw default 进行更改 命令。

防火墙策略是构建更详细和用户定义的规则的基础。 在大多数情况下，初始UFW默认策略是一个很好的起点。

应用资料

使用 apt 命令安装软件包时，它将在 /etc/ufw/applications.d 目录中添加应用程序配置文件。 该配置文件描述了服务并包含UFW设置。

您可以通过键入以下命令列出服务器上所有可用的应用程序配置文件：

sudo ufw app list

根据系统上安装的软件包，输出将类似于以下内容：

Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission

要查找有关特定概要文件和包含的规则的更多信息，请使用以下命令：

sudo ufw app info 'Nginx Full'

Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp

从上面的输出中可以看到，“ Nginx Full”配置文件打开了端口 80 和 443 。

允许SSH连接

在启用UFW防火墙之前，我们需要添加一条规则，该规则将允许传入的SSH连接。 如果要从远程位置连接到服务器（几乎总是这样），并且在明确允许传入的SSH连接之前启用UFW防火墙，则将无法再连接到Ubuntu服务器。

要将UFW防火墙配置为允许传入的SSH连接，请键入以下命令：

sudo ufw allow ssh

Rules updated Rules updated (v6)

如果将SSH端口更改为自定义端口而不是端口22，则需要打开该端口。

例如，如果您的ssh守护程序监听端口 4422 ，则可以使用以下命令允许该端口上的连接：

sudo ufw allow 4422/tcp

启用UFW

现在您的UFW防火墙已配置为允许传入的SSH连接，我们可以通过键入以下内容启用它：

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

将警告您启用防火墙可能会破坏现有的ssh连接，只需键入 y 并按 Enter 。

允许其他端口上的连接

根据服务器上运行的应用程序和您的特定需求，您还需要允许传入访问某些其他端口的权限。

下面我们将向您展示一些示例，说明如何允许传入连接到某些最常见的服务：

打开端口80-HTTP

可以使用以下命令来允许HTTP连接：

sudo ufw allow

您可以使用端口号80代替http：

sudo ufw allow 80/tcp

或者您可以使用应用程序配置文件，在这种情况下为“ Nginx

sudo ufw allow 'Nginx

打开端口443-HTTPS

可以使用以下命令来允许HTTP连接：

sudo ufw allow

要实现相同的而非 https 配置文件，可以使用端口号 443 ：

sudo ufw allow 443/tcp

或者您可以使用应用程序配置文件“ Nginx

sudo ufw allow 'Nginx

打开端口8080

sudo ufw allow 8080/tcp

允许端口范围

UFW允许访问端口范围，而不是允许访问单个端口。 当使用UFW允许端口范围时，必须指定协议 tcp 或 udp 。 例如，如果要在 tcp 和 udp 上都允许端口从 7100 到 7200 ，则运行以下命令：

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

允许特定的IP地址

要允许从家用计算机的IP地址为64.63.62.61的所有端口上进行访问，请在 from 后面加上您要白名单的IP地址：

sudo ufw allow from 64.63.62.61

允许特定端口上的特定IP地址

要允许访问特定端口，假设您的工作计算机的IP地址为64.63.62.61的端口22，可 to any port 后跟端口号：

sudo ufw allow from 64.63.62.61 to any port 22

允许子网

允许连接到IP地址子网的命令与使用单个IP地址时的命令相同，唯一的区别是您需要指定网络掩码。 例如，如果要允许访问从192.168.1.1到192.168.1.254的IP地址到端口3360（MySQL），则可以使用以下命令：

sudo ufw allow from 192.168.1.0/24 to any port 3306

允许连接到特定的网络接口

要允许访问特定端口，假设仅将3360端口访问特定的网络接口 eth2 ，那么您需要指定 allow in on 和网络接口的名称：

sudo ufw allow in on eth2 to any port 3306

拒绝连接

所有传入连接的默认策略均设置为“ deny ，如果您尚未更改，则UFW将阻止所有传入连接，除非您专门打开该连接。

假设您打开了端口 80 和 443 并且服务器受到 23.24.25.0/24 网络的攻击。 要拒绝来自 23.24.25.0/24 所有连接，可以使用以下命令：

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

编写拒绝规则与编写允许规则相同，只需要将 allow 替换为 deny 。

删除UFW规则

删除UFW规则有两种方法，分别是通过规则编号和指定实际规则。

通过规则编号删除UFW规则更容易，特别是如果您不熟悉UFW。 要首先通过规则编号删除规则，您需要找到要删除的规则编号，可以使用以下命令进行操作：

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

要删除规则号3（允许连接到端口8080的规则），请使用以下命令：

sudo ufw delete 3

第二种方法是通过指定实际规则来删除规则，例如，如果添加了规则以打开端口 8069 ，则可以使用以下命令将其删除：

sudo ufw delete allow 8069

禁用UFW

如果出于任何原因要停止UFW并停用所有规则，则可以使用：

sudo ufw disable

以后，如果您想重新启用UTF并激活所有规则，只需键入：

sudo ufw enable

重置UFW

重置UFW将禁用UFW，并删除所有活动规则。 如果要还原所有更改并重新开始，这将很有帮助。

要重置UFW，只需键入以下命令：

sudo ufw reset

结论

您已经了解了如何在Ubuntu 18.04服务器上安装和配置UFW防火墙。 确保限制系统正常运行所必需的所有传入连接，同时限制所有不必要的连接。

ufw防火墙iptables Ubuntu安全