ufw是ubuntu是默认的防火墙配置工具,相对于iptables,ufw使用更加简单
ufw基本操作
-
[]是代表可选内容,需要root权限
ufw [--dry-run] enable|disable|reload 命令[--试运行]激活|关闭|重新载入 ufw [--dry-run] default allow|deny|reject [incoming|outgoing] 命令[--试运行]默认 允许|阻止|拒绝 [访问本机|向外访问] deny让访问者知道数据被拒绝(回馈拒绝信息),这样调试网络时就知道是防火墙阻止了访问。reject则直接丢弃访问数据,访问者不知道是访问被拒绝还是不存在该主机。 这个默认策略。相当于“总策略” 如果更改了默认策略,一些已经存在的规则可能需要手动修改。更多内容看“规则示例”一节。 ufw [--dry-run] logging on|off|LEVEL 命令[--试运行]日志 开启|关闭|“级别” “级别”分为low、medium、high、full low 记录与默认策略冲突的封装数据包(记录速度被限制)。记录与规则符合的数据包(没有要求关闭记录的) medium 记录与默认策略冲突的数据包(包括被规则允许的)、无效数据包、所有新连接。记录速度被限制。 high 同medium,只是没有记录速度限制。附加记录所有数据包(有记录速度限制)。 full 与high等同,只是取消记录限制。 medium级别及更上级会记录许多内容,有可能短时间内撑爆你的硬盘。特别是用在服务器一类的机器上
-
ufw规则文件在/etc/ufw/before.rules ,/etc/ufw/after.rules,/var/lib/ufw/user.rules中,规则使用是按before.rules,再用user.rules,最后是after.rules,先设置规则会提前生效,后面规则不会覆盖上面的规则
-
启用
sudo ufw enable
sudo ufw default deny
运行以上两条命令后,开启了防火墙,并在系统启动时自动开启默认防御(阻止外部联接,放行对外联接),
-
允许 53 端口
$ sudo ufw allow 53
如果要控制协议,只要加入“/协议”在端口后面就行了。例如: ufw allow 25/tcp
允许某特定 IP
$ sudo ufw allow from 192.168.254.254
删除上面的规则
$ sudo ufw delete allow from 192.168.254.254
END