本篇內(nèi)容介紹了“Ubuntu怎么用UFW配置防火墻”的有關(guān)知識(shí)，在實(shí)際案例的操作過程中，不少人都會(huì)遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),靈川企業(yè)網(wǎng)站建設(shè),靈川品牌網(wǎng)站建設(shè),網(wǎng)站定制,靈川網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,靈川網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

簡(jiǎn)介：

UFW，即簡(jiǎn)單防火墻uncomplicated firewall，是一個(gè) Arch Linux、Debian 或 Ubuntu 中管理防火墻規(guī)則的前端。 UFW 通過命令行使用（盡管它有可用的 GUI），它的目的是使防火墻配置簡(jiǎn)單（即不復(fù)雜uncomplicated）。

安裝 UFW：

UFW 默認(rèn)包含在 Ubuntu 中，默認(rèn)情況下，UFW 的規(guī)則集為空，因此即使守護(hù)程序正在運(yùn)行，也不會(huì)強(qiáng)制執(zhí)行任何防火墻規(guī)則。 強(qiáng)制執(zhí)行防火墻規(guī)則集的部分在下面。

sudoapt-getinstallufw

使用 UFW 管理防火墻規(guī)則

設(shè)置默認(rèn)規(guī)則：

大多數(shù)系統(tǒng)只需要打開少量的端口接受傳入連接，并且關(guān)閉所有剩余的端口。 從一個(gè)簡(jiǎn)單的規(guī)則基礎(chǔ)開始，ufw default命令可以用于設(shè)置對(duì)傳入和傳出連接的默認(rèn)響應(yīng)動(dòng)作。 要拒絕所有傳入并允許所有傳出連接，那么運(yùn)行：

sudoufwdefaultallowoutgoing
sudoufwdefaultdenyincoming

ufw default 也允許使用 reject 參數(shù)。

警告：

除非明確設(shè)置允許規(guī)則，否則配置默認(rèn) deny 或 reject 規(guī)則會(huì)鎖定你的服務(wù)器。確保在應(yīng)用默認(rèn) deny 或 reject 規(guī)則之前，已按照下面的部分配置了 SSH 和其他關(guān)鍵服務(wù)的允許規(guī)則。

添加規(guī)則：

可以有兩種方式添加規(guī)則：用端口號(hào)或者服務(wù)名表示。

要允許 SSH 的 22 端口的傳入和傳出連接，你可以運(yùn)行：

sudoufwallowssh

你也可以運(yùn)行：

sudoufwallow22

相似的，要在特定端口（比如 111）上 deny 流量，你需要運(yùn)行：

sudoufwdeny111

為了更好地調(diào)整你的規(guī)則，你也可以允許基于 TCP 或者 UDP 的包。下面例子會(huì)允許 80 端口的 TCP 包：

sudoufwallow80/tcp
sudoufwallowhttp/tcp

這個(gè)會(huì)允許 1725 端口上的 UDP 包：

sudoufwallow1725/udp

高級(jí)規(guī)則：

除了基于端口的允許或阻止，UFW 還允許您按照 IP 地址、子網(wǎng)和 IP 地址/子網(wǎng)/端口的組合來允許/阻止。

允許從一個(gè) IP 地址連接：

sudoufwallowfrom123.45.67.89

允許特定子網(wǎng)的連接：

sudoufwallowfrom123.45.67.89/24

允許特定 IP/ 端口的組合：

sudoufwallowfrom123.45.67.89toanyport22prototcp

proto tcp 可以刪除或者根據(jù)你的需求改成 proto udp，所有例子的 allow 都可以根據(jù)需要變成 deny。

刪除規(guī)則：

要?jiǎng)h除一條規(guī)則，在規(guī)則的前面加上 delete。如果你希望不再允許 HTTP 流量，你可以運(yùn)行：

sudoufwdeleteallow80

刪除規(guī)則同樣可以使用服務(wù)名。

編輯 UFW 的配置文件：

雖然可以通過命令行添加簡(jiǎn)單的規(guī)則，但仍有可能需要添加或刪除更高級(jí)或特定的規(guī)則。 在運(yùn)行通過終端輸入的規(guī)則之前，UFW 將運(yùn)行一個(gè)文件 before.rules，它允許回環(huán)接口、ping 和 DHCP 等服務(wù)。要添加或改變這些規(guī)則，編輯 /etc/ufw/before.rules 這個(gè)文件。 同一目錄中的 before6.rules 文件用于 IPv6 。

還存在一個(gè) after.rule 和 after6.rule 文件，用于添加在 UFW 運(yùn)行你通過命令行輸入的規(guī)則之后需要添加的任何規(guī)則。

還有一個(gè)配置文件位于 /etc/default/ufw。 從此處可以禁用或啟用 IPv6，可以設(shè)置默認(rèn)規(guī)則，并可以設(shè)置 UFW 以管理內(nèi)置防火墻鏈。

UFW 狀態(tài)：

你可以在任何時(shí)候使用命令：sudo ufw status 查看 UFW 的狀態(tài)。這會(huì)顯示所有規(guī)則列表，以及 UFW 是否處于激活狀態(tài)：

Status:active
ToActionFrom
------------
22ALLOWAnywhere
80/tcpALLOWAnywhere
443ALLOWAnywhere
22(v6)ALLOWAnywhere(v6)
80/tcp(v6)ALLOWAnywhere(v6)
443(v6)ALLOWAnywhere(v6)

啟用防火墻：

隨著你選擇規(guī)則完成，你初始運(yùn)行 ufw status 可能會(huì)輸出 Status: inactive。 啟用 UFW 并強(qiáng)制執(zhí)行防火墻規(guī)則：

sudoufwenable

相似地，禁用 UFW 規(guī)則：

sudoufwdisable

UFW 會(huì)繼續(xù)運(yùn)行，并且在下次啟動(dòng)時(shí)會(huì)再次啟動(dòng)。

日志記錄：

你可以用下面的命令啟動(dòng)日志記錄：

sudoufwloggingon

可以通過運(yùn)行 sudo ufw logging low|medium|high 設(shè)計(jì)日志級(jí)別，可以選擇 low、 medium 或者 high。默認(rèn)級(jí)別是 low。

常規(guī)日志類似于下面這樣，位于 /var/logs/ufw：

Sep1615:08:14kernel:[UFWBLOCK]IN=eth0OUT=MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00SRC=123.45.67.89DST=987.65.43.21LEN=40TOS=0x00PREC=0x00TTL=249ID=8475PROTO=TCPSPT=48247DPT=22WINDOW=1024RES=0x00SYNURGP=0

前面的值列出了你的服務(wù)器的日期、時(shí)間、主機(jī)名。剩下的重要信息包括：

• [UFW BLOCK]：這是記錄事件的描述開始的位置。在此例中，它表示阻止了連接。

• IN：如果它包含一個(gè)值，那么代表該事件是傳入事件

• OUT：如果它包含一個(gè)值，那么代表事件是傳出事件

• MAC：目的地和源 MAC 地址的組合

• SRC：包源的 IP

• DST：包目的地的 IP

• LEN：數(shù)據(jù)包長(zhǎng)度

• TTL：數(shù)據(jù)包 TTL，或稱為 time to live。 在找到目的地之前，它將在路由器之間跳躍，直到它過期。

• PROTO：數(shù)據(jù)包的協(xié)議

• SPT：包的源端口

• DPT：包的目標(biāo)端口

• WINDOW：發(fā)送方可以接收的數(shù)據(jù)包的大小

• SYN URGP：指示是否需要三次握手。 0 表示不需要。

“Ubuntu怎么用UFW配置防火墻”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！