《LINUX教程：UFW使用指南：通用防火墻規則和命令》要點：
本文介紹了LINUX教程：UFW使用指南：通用防火墻規則和命令，希望對您有用。如果有疑問，可以聯系我們。

介紹

UFW是iptables的防火墻配置工具,默認情況下包括在Ubuntu中.這個欺騙表單樣式指南提供了一個快速參考UFW命令,將創建iptables防火墻規則在常見的日常情況下是有用的.這包括通過端口,網絡接口和源IP地址允許和阻止各種服務的UFW示例.

如何使用本指南

• 如果你是剛開始使用UFW配置防火墻,看看我們的介紹UFW
• 這里描述的大多數規則假定您正在使用默認UFW規則集.也就是說,它被設置為允許通過默認策略傳出和拒絕傳入流量,因此您必須選擇性地允許流量進入
• 使用隨后的章節適用于您要實現的內容.大多數節不是基于任何其他節,因此您可以獨立使用下面的示例
• 使用此頁面右側的“內容”菜單(以寬頁面寬度)或瀏覽器的查找功能,找到所需的部分
• 復制并粘貼給出的命令行示例,將紅色的值替換為您本身的值

請記住,你可以檢查您當前UFW規則集sudo ufw status或sudo ufw status verbose .

阻止IP地址

要阻止所有網絡連接從一個特定的IP地址提議, 15.15.15.51例如,運行以下命令：

sudo ufw deny from15.15.15.51

在這個例子中, from15.15.15.51指定“15.15.15.51”的一個源 IP地址. 如果你想,一個子網,如15.15.15.0/24 ,在這里可以代替規定. 源IP地址可以在任何防火墻規則中指定,其中包含允許規則.

阻止與網絡接口的銜接

要阻止來自特定IP地址的銜接,例如15.15.15.51到一個特定的網絡接口,如eth0 ,使用這個命令：

這是相同的前面的例子,通過加入in on eth0 .網絡接口可以在任何防火墻規則中指定,并且是將規則限制到特定網絡的好辦法.

服務：SSH

如果您使用云服務器,則可能必要允許傳入SSH連接(端口22),以便可以連接和管理服務器.本節介紹如何使用各種SSH相關規則配置防火墻.

允許SSH

要允許所有傳入的SSH銜接運行此命令：

sudo ufw allow ssh

另一種語法是指定SSH服務的端標語：

sudo ufw allow 22

允許從特定IP地址或子網接管SSH

要允許來自特定IP地址或子網的傳入SSH連接,請指定源.例如,如果你想使整個15.15.15.0/24子網,運行以下命令：

sudo ufw allow from15.15.15.0/24  to any port 22

允許從特定IP地址或子網接管Rsync

Rsync在端口873上運行,可用于將文件從一臺計算機傳輸到另一臺計算機.

要允許來自特定IP地址或子網的傳入rsync連接,請指定源IP地址和目標端口.例如,如果你想使整個15.15.15.0/24子網可以或許Rsync在您的服務器,運行以下命令：

sudo ufw allow from15.15.15.0/24 to any port 873

服務：Web服務器

Web服務器(如Apache和Nginx)通常分別監聽端口80和443上的HTTP和HTTPS連接的哀求.如果將傳入流量的默認策略設置為drop或deny,您將需要創建允許服務器響應這些哀求的規則.

允許所有傳入的HTTP

要允許所有傳入的HTTP(端口80)銜接運行此命令：

sudo ufw allow http

另一種語法是指定HTTP服務的端標語：

sudo ufw allow 80

允許所有傳入的HTTPS

要允許所有傳入的HTTPS(端口443)銜接運行此命令：

sudo ufw allow https

另一種語法是指定HTTPS服務的端標語：

sudo ufw allow 443

允許所有傳入的HTTP和HTTPS

如果要允許HTTP和HTTPS流量,則可以創立允許兩個端口的單個規則.要允許所有傳入的HTTP和HTTPS(端口443)連接運行此命令：

sudo ufw allow proto tcp from any to any port 80,443

請注意,您必要指定協議,與proto tcp ,指定多個端口的時候.

服務：MySQL

MySQL偵聽端口3306上的客戶端連接.如果遠程服務器上的客戶端正在使用MySQL數據庫服務器,則必要確保允許該流量.

從特定IP地址或子網允許MySQL

要允許來自特定IP地址或子網的傳入MySQL銜接,請指定源.例如,如果你想使整個15.15.15.0/24子網,運行以下命令：

sudo ufw allow from15.15.15.0/24 to any port 3306

允許MySQL到特定的網絡接口

要允許特定的網絡接口,說你有一個專用網絡接口,MySQL銜接eth1 ,例如使用這個命令：

sudo ufw allow in on eth1 to any port 3306

服務：PostgreSQL

PostgreSQL偵聽端口5432上的客戶端連接.如果遠程服務器上的客戶端正在使用您的PostgreSQL數據庫服務器,則必要確保允許該流量.

PostgreSQL從特定的IP地址或子網

要允許從特定IP地址或子網傳入PostgreSQL銜接,請指定源.例如,如果你想使整個15.15.15.0/24子網,運行以下命令：

sudo ufw allow from15.15.15.0/24 to any port 5432

如果第二個命令,允許建立的PostgreSQL連接發送的報文,只必要OUTPUT的政策未設置為ACCEPT .

允許PostgreSQL到特定的網絡接口

為了讓PostgreSQL的銜接到特定的網絡接口,說你有一個專用網絡接口eth1 ,例如使用這個命令：

sudo ufw allow in on eth1 to any port 5432

如果第二個命令,允許建立的PostgreSQL連接發送的報文,只必要OUTPUT的政策未設置為ACCEPT .

服務：郵件

郵件服務器(例如Sendmail和Postfix)根據用于郵件傳遞的協議在各種端口上偵聽.如果您正在運行郵件服務器,請確定您正在使用哪些協議,并允許相應類型的流量.我們還將向您展示如何創立規則以阻止傳出SMTP郵件.

阻止發送SMTP郵件

如果您的服務器不應發送外發郵件,則可能必要阻止此類流量.要阻止使用端口25的傳出SMTP郵件,請運行以下命令：

sudo ufw deny out25

這將配置防火墻刪除所有出站流量在端口25上.如果你必要通過端口號拒絕不同的服務,而不是25端口,只需更換它.

允許所有傳入SMTP

要允許服務器響應SMTP銜接(端口25),請運行以下命令：

sudo ufw allow 25

注：這是常見的的SMTP服務器使用端口587的出站郵件.

允許所有收到的IMAP

要允許服務器響應IMAP銜接(端口143),請運行以下命令：

sudo ufw allow 143

允許所有傳入的IMAPS

要允許您的服務器響應IMAPS銜接,端口993,請運行以下命令：

sudo ufw allow 993

允許所有傳入的POP3

要允許服務器響應POP3銜接,端口110,請運行以下命令：

sudo ufw allow 110

允許所有傳入的POP3S

要允許服務器響應POP3S銜接(端口995),請運行以下命令：

sudo ufw allow 995

結論

這應該涵蓋使用UFW配置防火墻時常用的許多命令.當然,UFW是一個非常靈活的工具,所以隨意混合和匹配命令與不同的選項,以滿足您的具體需要,如果這里不包含.

祝你好運!

本文永遠更新鏈接地址：

學習更多LINUX教程，請查看站內專欄，如果有LINUX疑問，可以加QQ交流《LINUX教程：UFW使用指南：通用防火墻規則和命令》。

轉載請注明本頁網址：
http://www.snjht.com/jiaocheng/9787.html