《LINUX教程：UFW使用指南：通用防火墻規(guī)則和命令》要點(diǎn)：
本文介紹了LINUX教程：UFW使用指南：通用防火墻規(guī)則和命令，希望對(duì)您有用。如果有疑問(wèn)，可以聯(lián)系我們。

介紹

UFW是iptables的防火墻配置工具,默認(rèn)情況下包括在Ubuntu中.這個(gè)欺騙表單樣式指南提供了一個(gè)快速參考UFW命令,將創(chuàng)建iptables防火墻規(guī)則在常見(jiàn)的日常情況下是有用的.這包括通過(guò)端口,網(wǎng)絡(luò)接口和源IP地址允許和阻止各種服務(wù)的UFW示例.

如何使用本指南

• 如果你是剛開(kāi)始使用UFW配置防火墻,看看我們的介紹UFW
• 這里描述的大多數(shù)規(guī)則假定您正在使用默認(rèn)UFW規(guī)則集.也就是說(shuō),它被設(shè)置為允許通過(guò)默認(rèn)策略傳出和拒絕傳入流量,因此您必須選擇性地允許流量進(jìn)入
• 使用隨后的章節(jié)適用于您要實(shí)現(xiàn)的內(nèi)容.大多數(shù)節(jié)不是基于任何其他節(jié),因此您可以獨(dú)立使用下面的示例
• 使用此頁(yè)面右側(cè)的“內(nèi)容”菜單(以寬頁(yè)面寬度)或?yàn)g覽器的查找功能,找到所需的部分
• 復(fù)制并粘貼給出的命令行示例,將紅色的值替換為您本身的值

請(qǐng)記住,你可以檢查您當(dāng)前UFW規(guī)則集sudo ufw status或sudo ufw status verbose .

阻止IP地址

要阻止所有網(wǎng)絡(luò)連接從一個(gè)特定的IP地址提議, 15.15.15.51例如,運(yùn)行以下命令：

sudo ufw deny from15.15.15.51

在這個(gè)例子中, from15.15.15.51指定“15.15.15.51”的一個(gè)源 IP地址. 如果你想,一個(gè)子網(wǎng),如15.15.15.0/24 ,在這里可以代替規(guī)定. 源IP地址可以在任何防火墻規(guī)則中指定,其中包含允許規(guī)則.

阻止與網(wǎng)絡(luò)接口的銜接

要阻止來(lái)自特定IP地址的銜接,例如15.15.15.51到一個(gè)特定的網(wǎng)絡(luò)接口,如eth0 ,使用這個(gè)命令：

這是相同的前面的例子,通過(guò)加入in on eth0 .網(wǎng)絡(luò)接口可以在任何防火墻規(guī)則中指定,并且是將規(guī)則限制到特定網(wǎng)絡(luò)的好辦法.

服務(wù)：SSH

如果您使用云服務(wù)器,則可能必要允許傳入SSH連接(端口22),以便可以連接和管理服務(wù)器.本節(jié)介紹如何使用各種SSH相關(guān)規(guī)則配置防火墻.

允許SSH

要允許所有傳入的SSH銜接運(yùn)行此命令：

sudo ufw allow ssh

另一種語(yǔ)法是指定SSH服務(wù)的端標(biāo)語(yǔ)：

sudo ufw allow 22

允許從特定IP地址或子網(wǎng)接管SSH

要允許來(lái)自特定IP地址或子網(wǎng)的傳入SSH連接,請(qǐng)指定源.例如,如果你想使整個(gè)15.15.15.0/24子網(wǎng),運(yùn)行以下命令：

sudo ufw allow from15.15.15.0/24  to any port 22

允許從特定IP地址或子網(wǎng)接管Rsync

Rsync在端口873上運(yùn)行,可用于將文件從一臺(tái)計(jì)算機(jī)傳輸?shù)搅硪慌_(tái)計(jì)算機(jī).

要允許來(lái)自特定IP地址或子網(wǎng)的傳入rsync連接,請(qǐng)指定源IP地址和目標(biāo)端口.例如,如果你想使整個(gè)15.15.15.0/24子網(wǎng)可以或許Rsync在您的服務(wù)器,運(yùn)行以下命令：

sudo ufw allow from15.15.15.0/24 to any port 873

服務(wù)：Web服務(wù)器

Web服務(wù)器(如Apache和Nginx)通常分別監(jiān)聽(tīng)端口80和443上的HTTP和HTTPS連接的哀求.如果將傳入流量的默認(rèn)策略設(shè)置為drop或deny,您將需要?jiǎng)?chuàng)建允許服務(wù)器響應(yīng)這些哀求的規(guī)則.

允許所有傳入的HTTP

要允許所有傳入的HTTP(端口80)銜接運(yùn)行此命令：

sudo ufw allow http

另一種語(yǔ)法是指定HTTP服務(wù)的端標(biāo)語(yǔ)：

sudo ufw allow 80

允許所有傳入的HTTPS

要允許所有傳入的HTTPS(端口443)銜接運(yùn)行此命令：

sudo ufw allow https

另一種語(yǔ)法是指定HTTPS服務(wù)的端標(biāo)語(yǔ)：

sudo ufw allow 443

允許所有傳入的HTTP和HTTPS

如果要允許HTTP和HTTPS流量,則可以創(chuàng)立允許兩個(gè)端口的單個(gè)規(guī)則.要允許所有傳入的HTTP和HTTPS(端口443)連接運(yùn)行此命令：

sudo ufw allow proto tcp from any to any port 80,443

請(qǐng)注意,您必要指定協(xié)議,與proto tcp ,指定多個(gè)端口的時(shí)候.

服務(wù)：MySQL

MySQL偵聽(tīng)端口3306上的客戶端連接.如果遠(yuǎn)程服務(wù)器上的客戶端正在使用MySQL數(shù)據(jù)庫(kù)服務(wù)器,則必要確保允許該流量.

從特定IP地址或子網(wǎng)允許MySQL

要允許來(lái)自特定IP地址或子網(wǎng)的傳入MySQL銜接,請(qǐng)指定源.例如,如果你想使整個(gè)15.15.15.0/24子網(wǎng),運(yùn)行以下命令：

sudo ufw allow from15.15.15.0/24 to any port 3306

允許MySQL到特定的網(wǎng)絡(luò)接口

要允許特定的網(wǎng)絡(luò)接口,說(shuō)你有一個(gè)專用網(wǎng)絡(luò)接口,MySQL銜接eth1 ,例如使用這個(gè)命令：

sudo ufw allow in on eth1 to any port 3306

服務(wù)：PostgreSQL

PostgreSQL偵聽(tīng)端口5432上的客戶端連接.如果遠(yuǎn)程服務(wù)器上的客戶端正在使用您的PostgreSQL數(shù)據(jù)庫(kù)服務(wù)器,則必要確保允許該流量.

PostgreSQL從特定的IP地址或子網(wǎng)

要允許從特定IP地址或子網(wǎng)傳入PostgreSQL銜接,請(qǐng)指定源.例如,如果你想使整個(gè)15.15.15.0/24子網(wǎng),運(yùn)行以下命令：

sudo ufw allow from15.15.15.0/24 to any port 5432

如果第二個(gè)命令,允許建立的PostgreSQL連接發(fā)送的報(bào)文,只必要OUTPUT的政策未設(shè)置為ACCEPT .

允許PostgreSQL到特定的網(wǎng)絡(luò)接口

為了讓PostgreSQL的銜接到特定的網(wǎng)絡(luò)接口,說(shuō)你有一個(gè)專用網(wǎng)絡(luò)接口eth1 ,例如使用這個(gè)命令：

sudo ufw allow in on eth1 to any port 5432

如果第二個(gè)命令,允許建立的PostgreSQL連接發(fā)送的報(bào)文,只必要OUTPUT的政策未設(shè)置為ACCEPT .

服務(wù)：郵件

郵件服務(wù)器(例如Sendmail和Postfix)根據(jù)用于郵件傳遞的協(xié)議在各種端口上偵聽(tīng).如果您正在運(yùn)行郵件服務(wù)器,請(qǐng)確定您正在使用哪些協(xié)議,并允許相應(yīng)類型的流量.我們還將向您展示如何創(chuàng)立規(guī)則以阻止傳出SMTP郵件.

阻止發(fā)送SMTP郵件

如果您的服務(wù)器不應(yīng)發(fā)送外發(fā)郵件,則可能必要阻止此類流量.要阻止使用端口25的傳出SMTP郵件,請(qǐng)運(yùn)行以下命令：

sudo ufw deny out25

這將配置防火墻刪除所有出站流量在端口25上.如果你必要通過(guò)端口號(hào)拒絕不同的服務(wù),而不是25端口,只需更換它.

允許所有傳入SMTP

要允許服務(wù)器響應(yīng)SMTP銜接(端口25),請(qǐng)運(yùn)行以下命令：

sudo ufw allow 25

注：這是常見(jiàn)的的SMTP服務(wù)器使用端口587的出站郵件.

允許所有收到的IMAP

要允許服務(wù)器響應(yīng)IMAP銜接(端口143),請(qǐng)運(yùn)行以下命令：

sudo ufw allow 143

允許所有傳入的IMAPS

要允許您的服務(wù)器響應(yīng)IMAPS銜接,端口993,請(qǐng)運(yùn)行以下命令：

sudo ufw allow 993

允許所有傳入的POP3

要允許服務(wù)器響應(yīng)POP3銜接,端口110,請(qǐng)運(yùn)行以下命令：

sudo ufw allow 110

允許所有傳入的POP3S

要允許服務(wù)器響應(yīng)POP3S銜接(端口995),請(qǐng)運(yùn)行以下命令：

sudo ufw allow 995

結(jié)論

這應(yīng)該涵蓋使用UFW配置防火墻時(shí)常用的許多命令.當(dāng)然,UFW是一個(gè)非常靈活的工具,所以隨意混合和匹配命令與不同的選項(xiàng),以滿足您的具體需要,如果這里不包含.

祝你好運(yùn)!

本文永遠(yuǎn)更新鏈接地址：

學(xué)習(xí)更多LINUX教程，請(qǐng)查看站內(nèi)專欄，如果有LINUX疑問(wèn)，可以加QQ交流《LINUX教程：UFW使用指南：通用防火墻規(guī)則和命令》。

轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/9787.html