嵌入式开发交流网论坛

标题: Linux防火墙ufw简介 [打印本页]

作者: Ds—shiqi 时间: 2020-4-8 03:39
标题: Linux防火墙ufw简介
我们来研究下 Linux 上的 ufw（简单防火墙），为你更改防火墙提供一些见解和命令。
[attach]41413[/attach]

ufw（ 简单防火墙(Uncomplicated FireWall)）真正地简化了 iptables，它从出现的这几年，已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单，这对新管理员来说是一个福音，否则他们可能需要投入大量时间来学习防火墙管理。
ufw 也有 GUI 客户端（例如 gufw），但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令，并研究了它的工作方式。
首先，快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置，使用 grep 来抑制了空行和注释（以 # 开头的行）的显示。

$ grep -v '^#\|^$' /etc/default/ufw
IPV6=yes
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_APPLICATION_POLICY="SKIP"
MANAGE_BUILTINS=no
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

正如你所看到的，默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。
ufw 命令的基本语法如下所示，但是这个概要并不意味着你只需要输入 ufw 就行，而是一个告诉你需要哪些参数的快速提示。

ufw [--dry-run] [options] [rule syntax]

--dry-run 选项意味着 ufw 不会运行你指定的命令，但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集，因此你要做有好多行输出的准备。
要检查 ufw 的状态，请运行以下命令。注意，即使是这个命令也需要使用 sudo 或 root 账户。

$ sudo ufw status
Status: active

To Action From
-- ------ ----
22 ALLOW 192.168.0.0/24
9090 ALLOW Anywhere
9090 (v6) ALLOW Anywhere (v6)

否则，你会看到以下内容：

$ ufw status
ERROR: You need to be root to run this script

加上 verbose 选项会提供一些其它细节：

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To Action From
-- ------ ----
22 ALLOW IN 192.168.0.0/24
9090 ALLOW IN Anywhere
9090 (v6) ALLOW IN Anywhere (v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接：
<blockquote>$ sudo ufw allow 80

欢迎光临嵌入式开发交流网论坛 (http://www.dianzixuexi.com/bbs/)