Debian 10上使用UFW设置防火墙

介绍

UFW或Uncomplicated Firewall是iptables一个接口,旨在简化配置防火墙的过程。 虽然iptables是一个可靠而灵活的工具,但初学者很难学会如何使用它来正确配置防火墙。 如果您希望开始保护网络并且不确定使用哪种工具,UFW可能是您的正确选择。

本教程将向您展示如何在Debian 10上使用UFW设置防火墙。

先决条件

要学习本教程,您需要一台带有sudo非root用户的Debian 10服务器,您可以按照Debian 10初始服务器设置教程中的第1步-3进行设置 。

第1步 - 安装UFW

Debian默认不安装UFW。 如果您遵循整个初始服务器安装教程 ,则您将安装并启用UFW。 如果没有,请使用apt立即安装:

sudo apt install ufw

我们将设置UFW并按以下步骤启用它。

第2步 - 将IPv6与UFW一起使用(可选)

本教程是以IPv4编写的,但只要您启用它就适用于IPv6。 如果您的Debian服务器启用了IPv6,您需要确保将UFW配置为支持IPv6; 这将确保UFW除了IPv4之外还将管理IPv6的防火墙规则。 要配置它,请使用nano或您喜欢的编辑器打开UFW配置文件/etc/default/ufw :

sudo nano /etc/default/ufw

然后确保IPV6值为yes 。 它应该如下所示:

/ etc / default / ufw摘录

IPV6=yes

保存并关闭文件。 现在,当启用UFW时,它将配置为同时写入IPv4和IPv6防火墙规则。 但是,在启用UFW之前,您需要确保将防火墙配置为允许您通过SSH进行连接。 让我们从设置默认策略开始。

第3步 - 设置默认策略

如果您刚开始使用防火墙,则要定义的第一个规则是您的默认策略。 这些规则处理未明确匹配任何其他规则的流量。默认情况下,UFW设置为拒绝所有传入连接并允许所有传出连接。 这意味着任何尝试访问您服务器的人都无法连接,而服务器中的任何应用程序都可以访问外部世界。

让我们将您的UFW规则设置回默认值,以便我们确保您能够按照本教程进行操作。 要设置UFW使用的默认值,请使用以下命令:

sudo ufw default deny incoming
sudo ufw default allow outgoing

这些命令将默认值设置为拒绝传入并允许传出连接。 仅这些防火墙默认值可能足以用于个人计算机,但服务器通常需要响应来自外部用户的传入请求。 我们接下来会调查一下。

第4步 - 允许SSH连接

如果我们现在启用了我们的UFW防火墙,它将拒绝所有传入的连接。 这意味着,如果我们希望服务器响应这些类型的请求,我们将需要创建明确允许合法传入连接的规则 - 例如SSH或HTTP连接。 如果您使用的是云服务器,则可能需要允许传入的SSH连接,以便连接和管理服务器。

要将服务器配置为允许传入SSH连接,可以使用以下命令:

sudo ufw allow ssh

这将创建防火墙规则,允许端口22上的所有连接,这是SSH守护程序默认监听的端口。 UFW知道什么端口allow ssh意思,因为它在/etc/services文件中列为/etc/services 。

但是,我们实际上可以通过指定端口而不是服务名来编写等效规则。 例如,此命令产生与上面相同的结果:

sudo ufw allow 22

如果将SSH守护程序配置为使用其他端口,则必须指定相应的端口。 例如,如果SSH服务器正在监听端口2222 ,则可以使用此命令允许该端口上的连接:

sudo ufw allow 2222

现在您的防火墙已配置为允许传入SSH连接,您可以启用它。

第5步 - 启用UFW

要启用UFW,请使用以下命令:

sudo ufw enable

您将收到一条警告,指出该命令可能会破坏现有的SSH连接。 我们已经设置了允许SSH连接的防火墙规则,因此可以继续。 用y回应提示ENTER 。

防火墙现在处于活动状态。 运行sudo ufw status verbose命令以查看已设置的规则。 本教程的其余部分将介绍如何更详细地使用UFW,包括允许和拒绝不同类型的连接。

第6步 - 允许其他连接

此时,您应该允许服务器需要的所有其他连接正常运行。 您应该允许的连接取决于您的特定需求。 幸运的是,您已经知道如何编写允许基于服务名称或端口的连接的规则; 我们已经在端口22上为SSH做了这个。 你也可以这样做:

  • 端口80上的HTTP,这是未加密的Web服务器使用的。 要允许此类流量,您可以键入sudo ufw allow httpsudo ufw allow 80 。
  • 端口443上的HTTPS,这是加密的Web服务器使用的。 要允许此类流量,您可以键入sudo ufw allow httpssudo ufw allow 443 。

但是,除了指定端口或已知服务之外,还有其他方法可以允许连接。 我们将讨论下一步。

特定端口范围

您可以使用UFW指定端口范围。 例如,某些应用程序使用多个端口而不是单个端口。

例如,要允许使用端口6000 - 6007 X11连接,请使用以下命令:

sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

使用UFW指定端口范围时,必须指定规则应适用的协议( tcpudp )。 我们之前没有提到这一点,因为没有指定协议会自动允许两种协议,这在大多数情况下都可以。

特定的IP地址

使用UFW时,您还可以指定IP地址。 例如,如果要允许来自特定IP地址的连接(例如工作或家庭IP地址203.0.113.4,则需要指定IP地址,然后指定IP地址:

sudo ufw allow from 203.0.113.4

您还可以通过添加to any port后跟端口号to any port指定允许IP地址连接的特定端口。 例如,如果要允许203.0.113.4连接到端口22 (SSH),请使用以下命令:

sudo ufw allow from 203.0.113.4 to any port 22

子网

如果要允许IP地址子网,可以使用CIDR表示法指定网络掩码。 例如,如果要允许所有IP地址范围从203.0.113.1203.0.113.254 ,则可以使用此命令:

sudo ufw allow from 203.0.113.0/24

同样,您也可以指定允许子网203.0.113.0/24连接的目标端口。 同样,我们将使用端口22 (SSH)作为示例:

sudo ufw allow from 203.0.113.0/24 to any port 22

与特定网络接口的连接

如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定allow in on ,然后指定网络接口的名称来执行此操作。

您可能希望在继续之前查找网络接口。 为此,请使用以下命令:

ip addr
Output2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
. . .
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
. . .

突出显示的输出表示网络接口名称。 它们通常被命名为eth0enp3s2 。

例如,如果您的服务器具有名为eth0的公共网络接口,则可以使用以下命令允许HTTP流量:

sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器从公共互联网接收HTTP请求。

或者,如果您希望MySQL数据库服务器(端口3306 )监听专用网络接口eth1上的连接,则可以使用以下命令:

sudo ufw allow in on eth1 to any port 3306

这将允许专用网络上的其他服务器连接到MySQL数据库。

第7步 - 拒绝连接

如果尚未更改传入连接的默认策略,则UFW配置为拒绝所有传入连接。 通常,这会通过要求您创建明确允许特定端口和IP地址的规则来简化创建安全防火墙策略的过程。

有时您会想要根据源IP地址或子网拒绝特定连接,但是,可能是因为您知道您的服务器正在受到攻击。 此外,如果要将默认传入策略更改为允许 (不建议这样做),则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。

要编写拒绝规则,您可以使用上述命令,将allow替换为deny 。

例如,要拒绝HTTP连接,可以使用以下命令:

sudo ufw deny http

或者,如果要拒绝来自203.0.113.4所有连接,可以使用此命令:

sudo ufw deny from 203.0.113.4

现在让我们来看看如何删除规则。

第8步 - 删除规则

了解如何删除防火墙规则与了解如何创建它们同样重要。 有两种方法可以指定要删除的规则:规则编号或规则本身。这与创建规则时的规则类似。 我们首先通过规则编号方法解释删除 。

按规则编号

如果您使用规则编号删除防火墙规则,那么您要做的第一件事就是获取防火墙规则列表。 UFW status命令具有numbered选项,该选项显示每个规则旁边的数字:

sudo ufw status numbered
OutputStatus: activeTo                         Action      From--                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

如果我们决定要删除允许端口80上的HTTP连接的规则2 ,我们可以在以下UFW delete命令中指定:

sudo ufw delete 2

这将显示确认提示,您可以使用y/n回答。 输入y将删除规则2 。 请注意,如果启用了IPv6,则还需要删除相应的IPv6规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。 例如,如果要删除allow http规则,可以这样写:

sudo ufw delete allow http

您还可以使用allow 80而不是服务名称指定规则:

sudo ufw delete allow 80

此方法将删除IPv4和IPv6规则(如果存在)。

第9步 - 检查UFW状态和规则

您可以随时使用以下命令检查UFW的状态:

sudo ufw status verbose

如果禁用UFW,这是默认设置,您将看到如下内容:

OutputStatus: inactive

如果UFW处于活动状态,如果您按照第3步进行操作,则输出将表明它处于活动状态并将列出您设置的所有规则。 例如,如果防火墙设置为允许来自任何地方的SSH(端口22 )连接,则输出可能如下所示:

OutputStatus: activeTo                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere

如果要检查UFW如何配置防火墙,请使用status命令。

第10步 - 禁用或重置UFW(可选)

如果您决定不想使用UFW,可以使用以下命令禁用它:

sudo ufw disable

您使用UFW创建的任何规则将不再处于活动状态。 如果您需要稍后激活,可以随时运行sudo ufw enable 。

如果您已经配置了UFW规则但是您决定要重新开始,则可以使用reset命令:

sudo ufw reset

这将禁用UFW并删除您之前定义的任何规则。 请注意,如果您在任何时候修改默认策略,默认策略都不会更改为原始设置。 这应该会让你重新开始使用UFW。

结论

您的防火墙现在配置为允许(至少)SSH连接。 确保允许服务器需要的任何其他传入连接,同时限制不必要的连接。这将确保您的服务器既实用又安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/64656.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于卷积神经网络(CNN)和ResNet50的水果与蔬菜图像分类系统

前言 在现代智能生活中&#xff0c;计算机视觉技术已经成为不可或缺的工具&#xff0c;特别是在食物识别领域。想象一下&#xff0c;您只需拍摄一张水果或蔬菜的照片&#xff0c;系统就能自动识别其种类并为您提供丰富的食谱建议。这项技术不仅在日常生活中极具实用性&#xf…

前端数据加载慢的解决方法

都是和前端性能优化非常类似的做法。 1. 懒加载 (Lazy Loading) 对于图片、视频等资源&#xff0c;或者某些组件&#xff0c;在用户滚动到相关区域时再加载&#xff0c;而不是页面一开始就加载所有内容。使用 IntersectionObserver 实现懒加载&#xff0c;或者一些 UI 框架&am…

Tomcat部署war包项目解决404问题

问题出在了Tomcat的版本上了&#xff0c;应该先去看这个项目使用的springboot版本&#xff0c;然后去仓库里找到对应Tomcat版本。 Maven Repository: org.springframework.boot spring-boot-starter-tomcat 因此我们应该选择Tomcat9版本。 当我把Tomcat11换成Tomcat9时&…

Redis篇--常见问题篇1--缓存穿透(缓存空值,布隆过滤器,接口限流)

1、概述 缓存穿透是指客户端请求的数据既不在Redis缓存中&#xff0c;也不在数据库中。换句话说&#xff0c;缓存和数据库中都不存在该数据&#xff0c;但客户端仍然发起了查询请求。这种情况下&#xff0c;缓存无法命中&#xff0c;请求会直接穿透到数据库&#xff0c;而数据…

前端使用 Konva 实现可视化设计器(20)- 性能优化、UI 美化

这一章主要分享一下使用 Konva 遇到的性能优化问题&#xff0c;并且介绍一下 UI 美化的思路。 至少有 2 位小伙伴积极反馈&#xff0c;发现本示例有明显的性能问题&#xff0c;一是内存溢出问题&#xff0c;二是卡顿的问题&#xff0c;在这里感谢大家的提醒。 请大家动动小手&a…

BlueLM:以2.6万亿token铸就7B参数超大规模语言模型

一、介绍 BlueLM 是由 vivo AI 全球研究院自主研发的大规模预训练语言模型&#xff0c;本次发布包含 7B 基础 (base) 模型和 7B 对话 (chat) 模型&#xff0c;同时我们开源了支持 32K 的长文本基础 (base) 模型和对话 (chat) 模型。 更大量的优质数据 &#xff1a;高质量语料…

C语言基础16(文件IO)

文章目录 构造类型枚举类型typedef 文件操作(文件IO)概述文件的操作文件的打开与关闭打开文件关闭文件文件打开与关闭案例 文件的顺序读写单字符读取多字符读取单字符写入多字符写入 综合案例&#xff1a;文件拷贝判别文件结束 数据块的读写(二进制)数据块的读取数据块的写入 文…

【Unity/HFSM】使用UnityHFSM实现输入缓冲(预输入)和打断机制

文章目录 前言预输入Animancer的InputBuffer&#xff1a;在UnityHFSM中实现InputBuffer&#xff1a; 打断机制 前言 参考Animancer在状态机中的InputBuffer&#xff0c;在UnityHFSM中实现类似的InputBuffer机制&#xff0c;同时扩展一个状态打断机制 插件介绍&#xff1a; A…

运维日记

运维 内容分发网络(CDN):使用CDN将图片分发到离用户更近的服务器,减少传输时间sudo的权限配置是通过/etc/sudoers文件管理的,这个文件定义了哪些用户在哪种条件下执行什么命令。直接编辑这个文件是有风险的,因为错误的语法可能导致系统无法正常使用sudo功能,因此使用vi…

前端需要学什么

作为前端开发者&#xff0c;学习的内容不仅仅局限于 HTML、CSS 和 JavaScript。前端技术栈发展迅速&#xff0c;想要在职业生涯中不断进步&#xff0c;可以从以下几个方面规划学习路径&#xff1a; 1. 核心前端技能 掌握前端开发的基础和进阶知识&#xff1a; HTML/CSS/JavaS…

用python+YOLOV8图片车辆车距

1. 检测车辆&#xff1a; 使用深度学习模型&#xff08;例如 YOLO、Mask R-CNN&#xff09;来检测照片中的车辆&#xff0c;并得到每辆车的边界框&#xff08;Bounding Box&#xff09;。 工具与技术&#xff1a; YOLOv5/YOLOv8&#xff1a;高效的实时目标检测模型。OpenCV&…

【数理统计】参数估计

文章目录 点估计矩估计法最大似然估计法 区间估计单个正态总体参数的区间估计均值 μ \mu μ 的区间估计方差 σ 2 \sigma^2 σ2 的区间估计 两个正态总体参数的区间估计&#xff08;略&#xff09;补充&#xff1a;单侧置信区间 点估计 矩估计法 【定义】设 X X X 是随机…

冯诺依曼架构与哈佛架构的对比与应用

冯诺依曼架构&#xff08;Von Neumann Architecture&#xff09;&#xff0c;也称为 冯诺依曼模型&#xff0c;是由著名数学家和计算机科学家约翰冯诺依曼&#xff08;John von Neumann&#xff09;在1945年提出的。冯诺依曼架构为现代计算机奠定了基础&#xff0c;几乎所有现代…

linux不同发行版中的主要差异

一、初始化系统 Linux不同发行版中的系统初始化系统&#xff08;如 System V init、Upstart 或 systemd&#xff09; System V init&#xff1a; 历史&#xff1a;System V init 是最传统的 Linux 系统初始化系统&#xff0c;起源于 Unix System V 操作系统。运行级别&#xff…

3D造型软件solvespace在windows下的编译

3D造型软件solvespace在windows下的编译 在逛开源社区的时候发现了几款开源CAD建模软件&#xff0c;一直囿于没有合适的建模软件&#xff0c;虽然了解了很多的模拟分析软件&#xff0c;却不能使之成为整体的解决方案&#xff0c;从而无法产生价值。opencascad之流虽然可行&…

机器学习04-为什么Relu函数

机器学习0-为什么Relu函数 文章目录 机器学习0-为什么Relu函数 [toc]1-手搓神经网络步骤总结2-为什么要用Relu函数3-进行L1正则化修改后的代码解释 4-进行L2正则化解释注意事项 5-Relu激活函数多有夸张1-细数Relu函数的5宗罪2-Relu函数5宗罪详述 6-那为什么要用这个Relu函数7-文…

Redis篇-21--运维篇3-集群(分片,水平扩展,高可用,集群配置案例,扩展哨兵案例)

1、概述 Redis集群&#xff08;Cluster&#xff09;通过分片&#xff08;sharding&#xff09;实现了水平扩展&#xff0c;允许数据分布在多个节点上&#xff0c;从而提升性能和存储容量。 在Redis集群中&#xff0c;数据被分割成16384个哈希槽&#xff08;hash slots&#x…

QScreen在Qt5.15与Qt6.8版本下的区别

简述 QScreen主要用于提供与屏幕相关的信息。它可以获取有关显示设备的分辨率、尺寸、DPI&#xff08;每英寸点数&#xff09;等信息。本文主要是介绍Qt5.15与Qt6环境下&#xff0c;QScreen的差异&#xff0c;以及如何判断高DPI设备。 属性说明 logicalDotsPerInch&#xff1…

[HNCTF 2022 Week1]你想学密码吗?

下载附件用记事本打开 把这些代码放在pytho中 # encode utf-8 # python3 # pycryptodemo 3.12.0import Crypto.PublicKey as pk from hashlib import md5 from functools import reducea sum([len(str(i)) for i in pk.__dict__]) funcs list(pk.__dict__.keys()) b reduc…

shell8

until循环(条件为假的时候一直循环和while相反) i0 until [ ! $i -lt 10 ] doecho $i((i)) done分析 初始化变量&#xff1a; i0&#xff1a;将变量i初始化为0。 条件判断 (until 循环)&#xff1a; until [ ! $i -lt 10 ]&#xff1a;这里的逻辑有些复杂。它使用了until循环…