转载：如何在Ubuntu 18.04上使用UFW设置防火墙

https://blog.csdn.net/u013068789/article/details/82051943

介绍

UFW或Uncomplicated Firewall是iptables一个接口，旨在简化配置防火墙的过程。 虽然iptables是一个可靠而灵活的工具，但初学者很难学会如何使用它来正确配置防火墙。 如果您希望开始保护网络，并且您不确定使用哪种工具，UFW可能是您的正确选择。

本教程将向您展示如何在Ubuntu 18.04上使用UFW设置防火墙。

先决条件

要学习本教程，您需要：

• 一个带有sudo非root用户的Ubuntu 18.04服务器，您可以按照Ubuntu 18.04教程的初始服务器设置中的第1步-3进行设置 。

UFW默认安装在Ubuntu上。 如果由于某种原因已经卸载，可以使用sudo apt install ufw 。

第1步 - 将IPv6与UFW一起使用（可选）

本教程是在考虑IPv4的情况下编写的，但只要您启用IPv6，它将适用于IPv6。 如果您的Ubuntu服务器已启用IPv6，请确保将UFW配置为支持IPv6，以便除IPv4之外还管理IPv6的防火墙规则。 要执行此操作，请使用nano或您喜欢的编辑器打开UFW配置。

sudo nano /etc/default/ufw

然后确保IPV6值为yes 。 它应该如下所示：

/ etc / default / ufw摘录

IPV6=yes

保存并关闭文件。 现在，当启用UFW时，它将配置为同时写入IPv4和IPv6防火墙规则。 但是，在启用UFW之前，我们需要确保将防火墙配置为允许您通过SSH进行连接。 让我们从设置默认策略开始。

第2步 - 设置默认策略

如果您刚刚开始使用防火墙，则要定义的第一个规则是您的默认策略。 这些规则控制如何处理未明确匹配任何其他规则的流量。 默认情况下，UFW设置为拒绝所有传入连接并允许所有传出连接。 这意味着任何试图访问您的服务器的人都无法连接，而服务器中的任何应用程序都可以访问外部世界。

让我们将您的UFW规则设置回默认值，以便我们确保您能够按照本教程进行操作。 要设置UFW使用的默认值，请使用以下命令：

1.  
   sudo ufw default deny incoming
2.  
   sudo ufw default allow outgoing

这些命令将默认设置为拒绝传入并允许传出连接。 仅这些防火墙默认值可能足以用于个人计算机，但服务器通常需要响应来自外部用户的传入请求。 我们接下来会调查一下。

第3步 - 允许SSH连接

如果我们现在启用了我们的UFW防火墙，它将拒绝所有传入的连接。 这意味着，如果我们希望服务器响应这些类型的请求，我们将需要创建明确允许合法传入连接的规则 - 例如SSH或HTTP连接。 如果您使用的是云服务器，则可能需要允许传入的SSH连接，以便连接和管理服务器。

要将服务器配置为允许传入SSH连接，可以使用以下命令：

sudo ufw allow ssh

这将创建防火墙规则，允许端口22上的所有连接，这是SSH守护程序默认监听的端口。 UFW知道什么端口allow ssh意思，因为它在/etc/services文件中列为/etc/services 。

但是，我们实际上可以通过指定端口而不是服务名来编写等效规则。 例如，此命令与上面的命令相同：

sudo ufw allow 22

如果将SSH守护程序配置为使用其他端口，则必须指定相应的端口。 例如，如果SSH服务器正在监听端口2222 ，则可以使用此命令允许该端口上的连接：

sudo ufw allow 2222

现在您的防火墙已配置为允许传入SSH连接，我们可以启用它。

第4步 - 启用UFW

要启用UFW，请使用以下命令：

sudo ufw enable

您将收到一条警告，指出该命令可能会破坏现有的SSH连接。 我们已经设置了允许SSH连接的防火墙规则，因此可以继续。 用y回应提示ENTER 。

防火墙现在处于活动状态。 运行sudo ufw status verbose命令以查看已设置的规则。 本教程的其余部分将介绍如何更详细地使用UFW，例如允许或拒绝不同类型的连接。

第5步 - 允许其他连接

此时，您应该允许服务器需要响应的所有其他连接。 您应该允许的连接取决于您的特定需求。 幸运的是，您已经知道如何编写允许基于服务名称或端口的连接的规则; 我们已经在端口22上为SSH做了这个。 你也可以这样做：

• 端口80上的HTTP，这是未加密的Web服务器使用的，使用sudo ufw allow http或sudo ufw allow 80
• 端口443上的HTTPS，这是加密的Web服务器使用的，使用sudo ufw allow https或sudo ufw allow 443

除了指定端口或已知服务之外，还有其他几种允许其他连接的方法。

特定端口范围

您可以使用UFW指定端口范围。 某些应用程序使用多个端口，而不是单个端口。

例如，要允许使用端口6000 - 6007 X11连接，请使用以下命令：

1.  
   sudo ufw allow 6000:6007/tcp
2.  
   sudo ufw allow 6000:6007/udp

使用UFW指定端口范围时，必须指定规则应适用的协议（ tcp或udp ）。 我们之前没有提到这一点，因为没有指定协议会自动允许两种协议，这在大多数情况下都可以。

特定的IP地址

使用UFW时，您还可以指定IP地址。 例如，如果要允许来自特定IP地址的连接，例如工作或家庭IP地址203.0.113.4，则需要指定from ，然后指定IP地址：

sudo ufw allow from 203.0.113.4

您还可以通过添加to any port后跟端口号to any port指定允许IP地址连接的特定端口。 例如，如果要允许203.0.113.4连接到端口22 （SSH），请使用以下命令：

sudo ufw allow from 203.0.113.4 to any port 22

子网

如果要允许IP地址子网，可以使用CIDR表示法指定网络掩码。 例如，如果要允许所有IP地址范围从203.0.113.1到203.0.113.254 ，则可以使用此命令：

sudo ufw allow from 203.0.113.0/24

同样，您也可以指定允许子网203.0.113.0/24连接的目标端口。 同样，我们将使用端口22 （SSH）作为示例：

sudo ufw allow from 203.0.113.0/24 to any port 22

与特定网络接口的连接

如果要创建仅适用于特定网络接口的防火墙规则，可以通过指定“允许接通”，然后指定网络接口的名称来执行此操作。

您可能希望在继续之前查找网络接口。 为此，请使用以下命令：

ip addr

1.  
   Output Excerpt2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
2.  
   . . .
3.  
   3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
4.  
   . . .

突出显示的输出表示网络接口名称。 它们通常被命名为eth0或enp3s2 。

因此，如果您的服务器具有名为eth0的公共网络接口，则可以使用以下命令允许HTTP流量（端口80 ）：

sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器从公共互联网接收HTTP请求。

或者，如果您希望MySQL数据库服务器（端口3306 ）监听专用网络接口eth1上的连接，例如，您可以使用此命令：

sudo ufw allow in on eth1 to any port 3306

这将允许专用网络上的其他服务器连接到MySQL数据库。

第6步 - 拒绝连接

如果尚未更改传入连接的默认策略，则UFW配置为拒绝所有传入连接。 通常，这会通过要求您创建明确允许特定端口和IP地址的规则来简化创建安全防火墙策略的过程。

但是，有时您会希望根据源IP地址或子网拒绝特定连接，可能是因为您知道您的服务器正在受到攻击。 此外，如果要将默认传入策略更改为允许 （不建议这样做），则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。

要编写拒绝规则，您可以使用上述命令，将allow替换为deny 。

例如，要拒绝HTTP连接，可以使用以下命令：

sudo ufw deny http

或者，如果要拒绝来自203.0.113.4所有连接，可以使用此命令：

sudo ufw deny from 203.0.113.4

现在让我们来看看如何删除规则。

第7步 - 删除规则

了解如何删除防火墙规则与了解如何创建防火墙规则同样重要。 有两种不同的方法可以指定要删除的规则：按规则编号或实际规则（类似于创建规则时的规则）。 我们将从规则编号方法删除开始，因为它更容易。

按规则编号

如果您使用规则编号删除防火墙规则，那么您要做的第一件事就是获取防火墙规则列表。 UFW status命令可以选择显示每个规则旁边的数字，如下所示：

sudo ufw status numbered

1.  
   Numbered Output:Status: active
2.  
    
3.  
   To Action From
4.  
   -- ------ ----
5.  
   [ 1] 22 ALLOW IN 15.15.15.0/24
6.  
   [ 2] 80 ALLOW IN Anywhere

如果我们决定要删除允许端口80（HTTP）连接的规则2，我们可以在UFW删除命令中指定它，如下所示：

sudo ufw delete 2

这将显示确认提示，然后删除规则2，允许HTTP连接。 请注意，如果启用了IPv6，则还需要删除相应的IPv6规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。 例如，如果要删除allow http规则，可以这样写：

sudo ufw delete allow http

您还可以通过allow 80而不是服务名称来指定规则：

sudo ufw delete allow 80

此方法将删除IPv4和IPv6规则（如果存在）。

第8步 - 检查UFW状态和规则

您可以随时使用以下命令检查UFW的状态：

sudo ufw status verbose

如果UFW被禁用，默认情况下，你会看到如下内容：

OutputStatus: inactive

如果UFW处于活动状态，如果您按照第3步进行操作，输出将表明它处于活动状态，并且它将列出所有已设置的规则。例如，如果防火墙设置为允许来自任何地方的SSH（端口22 ）连接，则输出可能如下所示：

1.  
   OutputStatus: active
2.  
   Logging: on (low)
3.  
   Default: deny (incoming), allow (outgoing), disabled (routed)
4.  
   New profiles: skip
5.  
    
6.  
   To Action From
7.  
   -- ------ ----
8.  
   22/tcp ALLOW IN Anywhere

如果要检查UFW如何配置防火墙，请使用status命令。

第9步 - 禁用或重置UFW（可选）

如果您决定不想使用UFW，可以使用以下命令禁用它：

sudo ufw disable

您使用UFW创建的任何规则将不再处于活动状态。 如果您以后需要激活它，可以随时运行sudo ufw enable 。

如果您已经配置了UFW规则但是您决定要重新开始，则可以使用reset命令：

sudo ufw reset

这将禁用UFW并删除先前定义的任何规则。 请注意，如果您在任何时候修改了默认策略，默认策略都不会更改为原始设置。 这应该会让你重新开始使用UFW。

结论

您的防火墙现在配置为允许（至少）SSH连接。 确保允许服务器的任何其他传入连接，同时限制任何不必要的连接，以便您的服务器功能和安全。