Ubuntu防火墙管理

防火墙管理

防火墙是用于监控和过滤传入和传出网络流量的工具。 它通过定义一组确定是允许还是阻止特定流量的安全规则来工作。

Ubuntu 18.04安装了一个称为UFW的防火墙配置工具。 它是用于管理iptables防火墙规则的用户友好型前端。 它的主要目标是使防火墙的管理变得更容易,简单。

只有root或具有sudo权限的用户可以管理系统防火墙。最佳做法是以sudo用户运行管理任务系统防火墙。

ufw是Ubuntu 18.04标准安装的一部分,它应该已安装于您的系统中。

如果由于某种原因未安装,则可以通过apt软件管理器安装UFW命令

sudo apt update
sudo apt install ufw

UFW默认情况下处于禁用状态。 您可以使用通过命令检查UFW服务的状态。

打印防火墙的状态
--打印防火墙的状态
root@ubuntu:~# ufw status verbose
Status: inactiveStatus: inactive表示防火墙状态为非活动状态
Status: active表示UFW已激活

UFW防火墙的默认行为是阻止所有传入和转发流量,并允许所有出站流量。这意味着除非您打开指定的端口,否则任何尝试访问您的服务器的人都将无法连接。

默认策略在/etc/default/ufw文件中定义,可以通过手动修改该文件或使用sudo ufw default <policy> <chain>命令来更改。

防火墙策略是建立更复杂的用户自定义规则的基础。 通常,最初的UFW默认策略是一个很好的起点。

应用配置文件

应用程序配置文件是INI格式的文本文件,描述了服务的防火墙规则。在安装软件期间,会在/etc/ufw/applications.d目录中创建应用程序配置文件。

您可以通过sudo ufw app list命令列出服务器上所有可用的应用程序配置文件。sudo ufw app info命令可以查找指定配置文件包含的防火墙规则详细信息。

sudo ufw app info 'Nginx Full'命令将会查找Nginx服务的防火墙规则的配置信息。您也可以为应用创建自定义配置文件。

启用UFW

在启用UFW防火墙之前,必须明确允许SSH的连接。否则,您将无法连接到计算机。

sudo ufw allow ssh命令将UFW防火墙配置为允许SSH的连接。如果SSH不是监听默认端口22。则需要打开该端口。

如果您的ssh服务监听端口7722,请运行命令sudo ufw allow 7722/tcp允许该端口上的连接。当已将防火墙配置为允许SSH的连接时,您可以运行命令来启用它。

sudo ufw enable将会启用ubuntu防火墙,并提示你命令可能会中断SSH的连接是否要进行该操作。

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y。只需键入y并按Enter回车

打开端口

根据系统上运行的应用程序,您可能还需要打开其他端口。 打开端口的一般语法是。

ufw allow port_number/protocol

如果未给出协议,则UFW会同时为tcp和udp创建规则。

以下是关于如何允许HTTP连接的几种方法。

  • 第一种选择是使用服务名称。UFW将检查/etc/services文件中服务指定的端口和协议。命令是sudo ufw allow http。
  • 另一个选择是使用应用程序的配置文件。比如命令sudo ufw allow 'Nginx HTTP'将会应用Nginx服务防火墙配置文件,打开端口80和443。

UFW还允许您打开指定的端口范围。起始端口和结束端口用冒号:分隔,并且您必须指定协议tcp或udp。

例如,如果要同时在tcp和udp允许来自7100到7200端口的连接,则可以运行命令sudo ufw allow 7100:7200/tcp。

指定端口号最常用的方式例如命令sudo ufw allow 80将会打开80端口。UFW还支持使用proto关键字指定协议。

sudo ufw allow 80 #tcp和udp
sudo ufw allow 80/tcp #仅tcp
sudo ufw allow proto tcp to any port 80
允许源IP地址接口/网卡

要允许来自指定源IP的连接,请使用from关键字,后跟源地址。如果要仅允许指定的IP地址访问指定的端口,请使用to any port关键字,后跟端口号。

除了允许指定的IP地址之外你还可以指定IP地址的范围,或者是子网。允许IP地址子网的语法与使用单个IP地址时的语法相同。唯一的区别是您需要指定子网掩码。

在允许指定的网络接口上的连接时,请使用in on关键字,后跟接口的名称。

下面是一个示例,显示如何允许从192.168.1.1到192.168.1.254的IP地址,即192.168.1.0/24网段。连接到MySQL端口3360。

sudo ufw allow from 192.168.1.100 #仅允许单IP地址
sudo ufw allow from 192.168.1.100 to any port 3306 #仅允许单IP地址连接3306
sudo ufw allow from 192.168.1.0/24 to any port 3306
sudo ufw allow in on eth2 to any port 3306
拒绝连接

所有传入连接的默认策略均设置为deny,如果您未更改默认策略,除非打开指定端口的连接,否则UFW会阻止所有传入连接。

撰写拒绝规则与撰写允许规则相同。您只需要使用deny关键字而不是allow。

假设您打开了端口80和443,并且服务器受到23.24.25.0/24网络的攻击。要拒绝来自23.24.25.0/24的所有连接。

sudo ufw deny from 23.24.25.0/24命令将会拒绝23.24.25.0/24网段的连接,如果你仅需要拒绝指定IP地址的连接,则不需要添加子网掩码。

你还可以拒绝指定的IP地址连接到指定的端口,例如命令sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443。将会拒绝23.24.25.0/24访问端口80和443的示例:

sudo ufw deny from 23.24.25.100 #拒绝指定的IP连接
sudo ufw deny from 23.24.25.0/24  #整个网段
sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443
防火墙规则

有两种方法删除UFW规则,第一种是通过规则编号,第二种是指定实际规则来删除UFW规则。按规则编号删除ufw防火墙规则比较容易,尤其是您不熟悉UFW时。

如果你要通过规则编号删除规则,您需要找到要删除的规则的编号。要获取规则编号的列表,请使用sudo ufw status numbered命令。

假设要删除的ufw规则编号是3,该规则号允许连接到端口8080。你可运行命令sudo ufw delete 3。

第二种方法是通过指定实际规则来删除规则。例如,如果您打开了8069端口的规则,则可以运行命令sudo ufw delete allow 8069将其删除。

sudo ufw status numbered #查看防火墙的状态
sudo ufw delete 3 #根据编号删除
sudo ufw delete allow 8069 通过规则删除规则
禁用防火墙

如果出于某些原因要停止UFW并停用所有规则,则可以运行命令sudo ufw disable禁用防火墙。

以后,如果您想重新启用ufw并激活所有规则,运行命令sudo ufw enable即可。

重置UFW将禁用UFW,并删除所有活动规则。 如果您不想还原所有更改并重新开始,这将很有帮助。要重置UFW,可以运行命令sudo ufw reset。

sudo ufw disable #禁用
sudo ufw enable #开启
sudo ufw reset #重置
IP伪装

IP伪装是Linux内核中NAT网络地址转换的一种变体,它通过重写源IP地址和目标IP地址端口来转换网络流量。

借助IP伪装,您可以使用一台Linux计算机充当网关,允许私有网络中的一台或多台计算机与互联网通信。

例如VMware或者Virtualbox此类虚拟软件就是通过一个NAT适配器充当网卡,转发多台虚拟机网络数据,连接到互联网。

使用UFW配置IP伪装涉及几个步骤。首先,您需要启用IP转发ip_forward。

请使用你喜欢的编辑器编辑/etc/ufw/sysctl.conf文件。

sudo vim /etc/ufw/sysctl.conf查找并取消注释以下行:
net/ipv4/ip_forward=1

保存并退出编辑器后。

您还需要配置UFW以允许转发数据包。打开UFW配置文件/etc/default/ufw。找到DEFAULT_FORWARD_POLICY键,然后将值从DROP更改为ACCEPT。

sudo vim /etc/default/ufw#找到DEFAULT_FORWARD_POLICY改为ACCEPT
DEFAULT_FORWARD_POLICY="ACCEPT"

现在,您需要在nat表中设置POSTROUTING链的默认策略和伪装规则。 请打开/etc/ufw/before.rules文件。

sudo vim /etc/ufw/before.rules
追加以下几行到文件:
#NAT table rules 启用nat 表
*nat
# 允许POSTROUTING 链
:POSTROUTING ACCEPT [0:0]# 转发eth0接口的数据包,请将eth0更改为你对应的接口
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

注意不要删除COMMIT关键词,它永远是在最后一行。别忘了在-A POSTROUTING行中替换eth0以匹配你的计算机可以连接到互联网的名称。

完成后,保存并关闭文件。最后,通过命令sudo ufw disable禁用和命令sudo ufw enable重新启用UFW重新加载UFW规则。

我们已向您展示了如何在Ubuntu 18.04服务器安装和配置防火墙。在限制所有不必要的连接的同时,请确保允许系统正常运行所需的所有传入连接。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/632672.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pyqtgraph绘图类

pyqtgraph绘图类 pyqtgraph绘图有四种方法: 方法描述pyqtgraph.plot()创建一个新的QWindow用来绘制数据PlotWidget.plot()在已存在的QWidget上绘制数据PlotItem.plot()在已存在的QWidget上绘制数据GraphicsLayout.addPlot()在网格布局中添加一个绘图 上面四个方法都接收同样…

OpenHarmony应用开发-进程间通讯

版本&#xff1a;v3.2 Beta5 进程模型 OpenHarmony的进程模型如下图所示&#xff1a; 应用中&#xff08;同一包名&#xff09;的所有UIAbility、ServiceExtensionAbility、DataShareExtensionAbility运行在同一个独立进程中&#xff0c;即图中绿色部分的“Main Process”。…

Linux设备驱动开发学习笔记(等待队列,锁,字符驱动程序,设备树,i2C...)

1. 内核工具和辅助函数 1.1宏container_of container_of函数可以通过结构体的成员变量检索出整个结构体 函数原型&#xff1a; /* pointer 指向结构体字段的指针 container_type 结构体类型 container_field 结构体字段名称 返回值是一个指针 */ container_of(pointer, con…

HPsocket 在 C# 中的运用:一款优秀的 socket 通信框架

摘要&#xff1a;本文将为您详细介绍 HPsocket&#xff0c;一款适用于 win32 平台的 socket 通信框架。同时&#xff0c;我们还将探讨如何在 C# 项目中使用 HPsocket&#xff0c;实现网络通信功能。通过本文&#xff0c;您将深入了解 HPsocket 的特点、优势以及在 C# 中的实际应…

在线App封装技术:HTML5的新生命

HTML5封装的魅力所在HTML5带来了丰富的多媒体功能、地理位置服务、离线存储等特性&#xff0c;使得Web应用的体验更加接近原生App。封装HTML5到App中&#xff0c;可以大大缩短开发周期&#xff0c;降低开发成本&#xff0c;并且一次编写&#xff0c;多平台运行&#xff0c;极大…

MySQL面试题 | 15.精选MySQL面试题

&#x1f90d; 前端开发工程师&#xff08;主业&#xff09;、技术博主&#xff08;副业&#xff09;、已过CET6 &#x1f368; 阿珊和她的猫_CSDN个人主页 &#x1f560; 牛客高级专题作者、在牛客打造高质量专栏《前端面试必备》 &#x1f35a; 蓝桥云课签约作者、已在蓝桥云…

.NET Core使用SkiaSharp快速生成二维码( 真正跨平台方案)

前言 在.NET 6之前我们一直是使用QRCoder来生成二维码&#xff08;QRCoder是一个非常强大的生成二维码的组件&#xff0c;用到了System.Drawing.Common 包&#xff09;&#xff0c;然后从.NET 6开始&#xff0c;当为非 Windows 操作系统编译引用代码时&#xff0c;平台分析器会…

阿里云服务器配置选择之线下IDC直接映射

阿里云服务器配置CPU内存和ECS实例规格如何选择&#xff1f;主要用于线下IDC直接映射&#xff0c;可以选择第七代云服务器ECS计算型c7、通用型g7或内存型r7实例&#xff0c;企业级独享型云服务器&#xff0c;企业级实例采用固定CPU调度模式&#xff0c;每个vCPU绑定到一个物理C…

外汇天眼:Alpha Group International在2023财年实现营收同比增长12%

Alpha Group International plc&#xff0c;一家为企业和机构提供金融解决方案的公司&#xff0c;今天发布了截至2023财年的贸易更新。 营收增长12%&#xff0c;达到1.1亿英镑&#xff08;2022财年&#xff1a;9830万英镑&#xff09;。 税前利润增长超过140%&#xff0c;达到…

JVM的演变

Java虚拟机&#xff08;JVM&#xff09;是Java语言的核心组成部分&#xff0c;它负责将Java字节码转换为机器码并执行。随着时间的推移&#xff0c;JVM在不同版本的JDK中经历了许多演变和改进。本文将深入浅出地介绍从JDK 7到JDK 21不同主流版本的JVM结构变化及其特性&#xff…

一、RHCE--准备工作

一、RHCE---准备工作 1.修改主机地址&#xff08;由动态IP地址--> 静态IP地址&#xff09;第一种&#xff1a;通过命令行的方式第二种&#xff1a;通过vim编辑器修改配置文件的方式第三种&#xff1a;通过图形化的方式&#xff1a; 2.软件安装3.关闭防火墙4.禁用selinux 1.修…

xhr、jQuery、axios、fetch、vue-resource简单了解和对比

1. xhr 不常用&#xff08;太麻烦&#xff09;&#xff0c;一般进行二次封装&#xff0c;或者使用成型的第三方封装jQuery&#xff0c;axios等。axios和jQuery都是对xhr的封装。 2. jQuery 核心是封装Dom操作&#xff0c;80%的内容都是关于Dom的&#xff0c;Vue和React的使用…

【代码随想录算法训练营-第八天】【字符串】344,541,卡码网:54,151,卡码网:55

344.反转字符串 第一遍 思路 class Solution {public void reverseString(char[] s) {char tmp;for (int i 0, j s.length - 1; i < s.length && j > 0 && i < j; i, j--) {tmp s[i];s[i] s[j];s[j] tmp;}} }541. 反转字符串II 第一遍 思路…

kubernetes 权限控制

RBAC引入了4个顶级资源对象&#xff1a;Role、ClusterRole&#xff1a;角色&#xff0c;用于指定一组权限&#xff1b;RoleBinding、ClusterRoleBinding&#xff1a;角色绑定&#xff0c;用于将角色&#xff08;权限&#xff09;赋予给对象 咱们通过Role可以配置命名空间下资源…

第16章_网络编程拓展练习(TCP编程,UDP编程)

文章目录 第16章_网络编程拓展练习TCP编程1、学生与老师交互2、查询单词3、拓展&#xff1a;查询单词4、图片上传5、拓展&#xff1a;图片上传6、多个客户端上传文件7、群聊 UDP编程8、群发消息 第16章_网络编程拓展练习 TCP编程 1、学生与老师交互 案例&#xff1a;客户端模…

springboot3+springsecurity6集成druid启动报错

环境&#xff1a;springboot3security6druid1.2.20 druid1.2.20这个版本开始支持springboot3自动配置&#xff0c;不再需要手动引入 依赖为 <dependency><groupId>com.alibaba</groupId><artifactId>druid-spring-boot-3-starter</artifactId>…

概率论在激光雷达的目标检测和跟踪中的应用

概率论在激光雷达的目标检测和跟踪中发挥着重要的作用&#xff0c;通过建立概率模型和应用贝叶斯推断&#xff0c;可以处理激光雷达数据的不确定性&#xff0c;并提供准确的目标检测和跟踪结果。概率模型是激光雷达目标检测和跟踪的基础。激光雷达可以提供目标的位置、速度和形…

Qt程序如何在Release模式下进行断点调试

有些时候,因为某些工程pro文件设置了debug和Release版本的原因,导致在编译运行的时候,程序会自动生成带d后缀的一些库文件,进行调试。 debug模式下我们打断点进行调试,大家都知道。但是Release模式下,如果你直接Ctrl + R运行,肯定是无法断点调试的。 那么这个时候,我…

AEB滤镜再破碎,安全焦虑「解不开」?

不久前&#xff0c;理想L7重大交通事故&#xff0c;再次引发了公众对AEB的热议。 根据理想汽车公布的事故视频显示&#xff0c;碰撞发生前3秒&#xff0c;车速在178km/h时驾驶员采取了制动措施&#xff0c;但车速大幅超出AEB&#xff08;自动紧急刹车系统&#xff09;的工作范…

安卓之文本转视频的应用场景以及技术优劣分析

文章摘要 随着科技的进步&#xff0c;文本与视频这两种信息传递形式之间的界限正在逐渐模糊。特别是在安卓平台上&#xff0c;将文本转换为视频的功能已经成为一种重要的应用场景。本文将深入探讨这一功能的应用场景、涉及的关键技术&#xff0c;以及其优劣分析。 一、应用场景…