该UFW(简单防火墙)表示严重的简化,将iptables的并且,在未来几年,它一直可用,已成为系统如Ubuntu和Debian的默认防火墙。是的,UFW令人惊讶的是简单的 - 否则谁可能要投入大量的时间起床速度在防火墙管理新管理员的福音。
图形用户界面可用于UFW(喜欢gufw),但UFW命令一般发出命令行上。这篇文章探讨了使用某些命令UFW和外观到它是如何工作的。
首先,一个快速的方法来看看如何UFW配置的是看它的配置文件 -在/ etc /默认/ UFW。在下面的命令,我们显示设置,使用grep的同时抑制空白行和注释(线以#开始)的显示。
$ grep的-v '^#\ | ^ $' 的/ etc /默认/ UFW IPV6 = YES DEFAULT_INPUT_POLICY = “DROP” DEFAULT_OUTPUT_POLICY = “接受” DEFAULT_FORWARD_POLICY = “DROP” DEFAULT_APPLICATION_POLICY = “跳过” MANAGE_BUILTINS =没有IPT_SYSCTL =的/ etc / UFW/sysctl.conf IPT_MODULES = “nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns”
正如你所看到的,默认的策略是放弃输入,允许输出。另外的规则,允许您特别想被接受单独配置的连接。
对于UFW命令的基本语法看起来像你的下方,虽然这大纲并不意味着暗示打字只有“UFW”将进一步得到你不是一个快速的错误告诉你,是必需的参数。
UFW [--dry运行] [选项] [规则语法]
该--dry运行选项意味着UFW将不会运行指定的命令,但会告诉你结果,你会看到,如果它没有。它将,但是,显示整个一套规则的,因为他们会存在,如果变化进行了改造,所以要超过输出的几行准备。
要查看其状态UFW运行类似下面的命令。需要注意的是,即使这个命令需要使用须藤或使用根帐户的。
$ sudo的UFW状态的状态:积极开始行动从 - ------ ---- 22 ALLOW 192.168.0.0/24 9090 ALLOW Anywhere的9090(V6)允许任何地方(V6)
否则,你会看到这样的事情:
$ UFW状态错误:您需要root权限才能运行此脚本
添加“详细”提供了一些额外的细节:
$ sudo的UFW状态详细状态:启用日志记录:对(低)默认值:否认(进入),允许(离任),残疾人(路由),新的配置:跳到操作从 - ------ ---- 22允许192.168.0.0/24 9090允许任何地方9090(V6)按允许任何地方(V6)
您可以轻松地允许和拒绝与这样的命令,通过端口号连接:
$须藤UFW允许80 <==允许HTTP访问$执行sudo UFW否认25 <==拒绝SMTP访问
您可以检查出/ etc / services中文件中查找端口号和服务名之间的连接。
$ grep的80 / / etc / services中的http 80 / TCP WWW#万维网HTTP袜子1080 / TCP#socks代理服务器的袜子1080 / UDP HTTP-ALT 8080 / TCP的WebCache#WWW高速缓存服务的HTTP-ALT 8080 / UDP阿曼达10080 / TCP#阿曼达10080 / UDP美人蕉5680 / TCP#cannaserver阿曼达备份服务
或者,你可以使用的服务名称,如这些命令。
$ sudo的UFW允许HTTP规则添加规则添加(V6)$执行sudo UFW允许HTTPS规则添加附加规则(V6)
更改后,应再次检查情况看,那些已经作了修改:
$须藤UFW状态状态:激活要操作从 - ------ ---- 22 ALLOW 192.168.0.0/24 9090 ALLOW Anywhere的80 / TCP ALLOW Anywhere的<== 443 / TCP ALLOW Anywhere的<== 9090(V6)ALLOW无处不在(V6)80 / TCP(V6)ALLOW无处不在(V6)<== 443 / TCP(V6)ALLOW无处不在(V6)<==
该规则UFW如下被存储在在/ etc / UFW目录。请注意,您需要root权限查看这些文件,并且每个包含大量的规则。
$ LS -ltr的/ etc / UFW总计48 -rw-R - R-- 1根根1391 2017年8月15日sysctl.conf的-rw-R ----- 1根根1004 2017年8月17日after.rules -rw-r ----- 1个根根915 2017年8月17日after6.rules -rw-R ----- 1根根1130 2018年1月5日before.init -rw-R ----- 1根根1126扬5 2018 after.init -rw-R ----- 1根根2537 2019年3月25日before.rules -rw-R ----- 1根根6700 2019年3月25日before6.rules drwxr-XR-×3根根4096年11月12 8点21 applications.d -rw-R - R-- 1根根313年03月18 17:30 ufw.conf -rw-R ----- 1个根1711 03月19日10时42用户.rules -rw-R ----- 1个根1530 03月19日10时42分user6.rules
早些时候在这个岗位(加和端口的变化80对于HTTP访问和443对于HTTPS(加密的HTTP)访问将是这样的user.rules和user6.rules文件:
#grep的 “80” 用户* .rules user6.rules:###元组###允许TCP 80 :: / 0在任何user6.rules :: / 0:-A ufw6用户输入-p TCP --dport80 -j ACCEPT user.rules:###元组###允许TCP 80 0.0.0.0/0在user.rules任何0.0.0.0/0:-A UFW用户输入-p TCP --dport 80 -j接受你有新邮件在/ var /邮件/根#grep的443用户* .rules user6.rules:###元组###允许TCP 443 :: / 0任何::在user6.rules / 0:-A ufw6-user输入-p TCP --dport 443 -j ACCEPT user.rules:###元组###允许TCP 443 0.0.0.0/0任何0.0.0.0/0在user.rules:-A UFW-用户输入-p TCP --dport 443 -j ACCEPT
同UFW,你也可以很容易地阻止使用这样的命令系统的连接:
$ sudo的UFW从208.176.0.50规则添加否认
status命令将显示变化:
$ sudo的UFW状态详细状态:启用日志记录:对(低)默认值:否认(进入),允许(离任),残疾人(路由),新的配置:跳到操作从 - ------ ---- 22允许192.168.0.0/24 9090允许Anywhere的80 / TCP允许Anywhere的443 / TCP IN ALLOW Anywhere的Anywhere的否认208.176.0.50 <==新9090(V6)IN ALLOW无处不在(V6)80 / TCP(V6)ALLOW中的任何地方(V6)443 / TCP(V6)IN ALLOW无处不在(V6)
总而言之,UFW既易于配置和易于理解。