我們來研究下 Linux 上的 ufw(簡單防火牆),為你更改防火牆提供一些見解和命令。
ufw
(簡單防火牆)真正地簡化了 iptables,它從出現的這幾年,已經成為 Ubuntu 和 Debian 等系統上的預設防火牆。而且 ufw
出乎意料的簡單,這對新管理員來說是一個福音,否則他們可能需要投入大量時間來學習防火牆管理。
ufw
也有 GUI 用戶端(例如 gufw
),但是 ufw
命令通常在命令列上執行的。本文介紹了一些使用 ufw
的命令,並研究了它的工作方式。
首先,快速檢視 ufw
設定的方法是檢視其組態檔 —— /etc/default/ufw
。使用下面的命令可以檢視其設定,使用 grep
來抑制了空行和注釋(以 # 開頭的行)的顯示。
$ grep -v '^#\|^$' /etc/default/ufwIPV6=yesDEFAULT_INPUT_POLICY="DROP"DEFAULT_OUTPUT_POLICY="ACCEPT"DEFAULT_FORWARD_POLICY="DROP"DEFAULT_APPLICATION_POLICY="SKIP"MANAGE_BUILTINS=noIPT_SYSCTL=/etc/ufw/sysctl.confIPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"
正如你所看到的,預設策略是丟棄輸入但允許輸出。允許你接受特定的連線的其它規則是需要單獨設定的。
ufw
命令的基本語法如下所示,但是這個概要並不意味著你只需要輸入 ufw
就行,而是一個告訴你需要哪些引數的快速提示。
ufw [--dry-run] [options] [rule syntax]
--dry-run
選項意味著 ufw
不會執行你指定的命令,但會顯示給你如果執行後的結果。但是它會顯示假如更改後的整個規則集,因此你要做有好多行輸出的準備。
要檢查 ufw
的狀態,請執行以下命令。注意,即使是這個命令也需要使用 sudo
或 root 賬戶。
$ sudo ufw statusStatus: activeTo Action From-- ------ ----22 ALLOW 192.168.0.0/249090 ALLOW Anywhere9090 (v6) ALLOW Anywhere (v6)
否則,你會看到以下內容:
$ ufw statusERROR: You need to be root to run this script
加上 verbose
選項會提供一些其它細節:
$ sudo ufw status verboseStatus: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skipTo Action From-- ------ ----22 ALLOW IN 192.168.0.0/249090 ALLOW IN Anywhere9090 (v6) ALLOW IN Anywhere (v6)
你可以使用以下命令輕鬆地通過埠號允許和拒絕連線:
$ sudo ufw allow 80 <== 允許 http 存取$ sudo ufw deny 25 <== 拒絕 smtp 存取
你可以檢視 /etc/services
檔案來找到埠號和服務名稱之間的聯絡。
$ grep 80/ /etc/serviceshttp 80/tcp www # WorldWideWeb HTTPsocks 1080/tcp # socks proxy serversocks 1080/udphttp-alt 8080/tcp webcache # WWW caching servicehttp-alt 8080/udpamanda 10080/tcp # amanda backup servicesamanda 10080/udpcanna 5680/tcp # cannaserver
或者,你可以命令中直接使用服務的名稱。
$ sudo ufw allow httpRule addedRule added (v6)$ sudo ufw allow httpsRule addedRule added (v6)
進行更改後,你應該再次檢查狀態來檢視是否生效:
$ sudo ufw statusStatus: activeTo Action From-- ------ ----22 ALLOW 192.168.0.0/249090 ALLOW Anywhere80/tcp ALLOW Anywhere <==443/tcp ALLOW Anywhere <==9090 (v6) ALLOW Anywhere (v6)80/tcp (v6) ALLOW Anywhere (v6) <==443/tcp (v6) ALLOW Anywhere (v6) <==
ufw
遵循的規則儲存在 /etc/ufw
目錄中。注意,你需要 root 使用者存取許可權才能檢視這些檔案,每個檔案都包含大量規則。
$ ls -ltr /etc/ufwtotal 48-rw-r--r-- 1 root root 1391 Aug 15 2017 sysctl.conf-rw-r----- 1 root root 1004 Aug 17 2017 after.rules-rw-r----- 1 root root 915 Aug 17 2017 after6.rules-rw-r----- 1 root root 1130 Jan 5 2018 before.init-rw-r----- 1 root root 1126 Jan 5 2018 after.init-rw-r----- 1 root root 2537 Mar 25 2019 before.rules-rw-r----- 1 root root 6700 Mar 25 2019 before6.rulesdrwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d-rw-r--r-- 1 root root 313 Mar 18 17:30 ufw.conf-rw-r----- 1 root root 1711 Mar 19 10:42 user.rules-rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules
本文前面所作的更改,為 http
存取新增了埠 80
和為 https
存取新增了埠 443
,在 user.rules
和 user6.rules
檔案中看起來像這樣:
# grep " 80 " user*.rulesuser6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPTuser.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPTYou have new mail in /var/mail/root# grep 443 user*.rulesuser6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 inuser6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPTuser.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 inuser.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT
使用 ufw
,你還可以使用以下命令輕鬆地阻止來自一個 IP 地址的連線:
$ sudo ufw deny from 208.176.0.50Rule added
status
命令將顯示更改:
$ sudo ufw status verboseStatus: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skipTo Action From-- ------ ----22 ALLOW IN 192.168.0.0/249090 ALLOW IN Anywhere80/tcp ALLOW IN Anywhere443/tcp ALLOW IN AnywhereAnywhere DENY IN 208.176.0.50 <== new9090 (v6) ALLOW IN Anywhere (v6)80/tcp (v6) ALLOW IN Anywhere (v6)443/tcp (v6) ALLOW IN Anywhere (v6)
總而言之,ufw
不僅容易設定,而且且容易理解。