UFW 防火墙命令
关于ufw
ufw(Uncomplicated Firewall)是一个简化的、易于使用的Linux防火墙工具,旨在方便用户管理iptables防火墙规则。它为用户提供了一个直观且易于理解的命令行界面,使得配置防火墙规则变得更加简单。
ufw的一些主要特点和功能:
- 简化的防火墙管理:ufw提供了一个简洁的命令行界面,让您能够轻松地添加、删除和修改防火墙规则。
- 基于iptables:ufw是基于iptables的,因此它与Linux内核中现有的防火墙技术兼容。它实际上是iptables的一个友好的前端。
- 允许和拒绝规则:您可以使用ufw创建允许和拒绝规则,以控制入站和出站流量。这让您可以精确地控制允许哪些连接进入或离开您的系统。
- 放行特定端口、协议和IP:ufw允许您放行特定端口、协议(TCP或UDP)以及特定来源或目标IP地址的连接。
- 限制特定IP访问:您可以使用ufw限制特定IP地址访问您的系统上的特定端口。
- 日志记录:ufw可以记录防火墙活动,这对于监视您的系统安全和解决网络问题非常有用。
- 易于启用和禁用:ufw可以轻松启用和禁用,让您在需要时可以迅速启用防火墙,或在进行系统维护时暂时关闭防火墙。
安装ufw
在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:
1 | |
然后启动ufw:
1 | |
执行sudo ufw status查看当前状态,通常有3种状态:
- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。
- Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。
- Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
ufw放行端口
ufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:
1 | |
如果需要放行特定协议的端口,我们需要加上协议:
1 | |
放行一个端口范围:
1 | |
将 <start-port> 替换为起始端口号,<end-port> 替换为结束端口号,<protocol>为协议。例如,要放行 TCP 端口范围 8000 到 9000,可以执行sudo ufw allow 8000:9000/tcp
ufw删除已经放行的规则或端口
要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:
方法1:通过规则号删除
首先,运行以下命令以查看当前ufw的状态和现有规则:
1 | |
这将显示带有编号的规则列表。
确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:
1 | |
例如,要删除编号为1的规则,运行:
1 | |
方法2:通过放行条件删除
您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:
1 | |
或者,如果要删除允许UDP端口5000的规则,您可以运行:
1 | |
删除规则后,再次运行sudo ufw status以确认所选规则已从ufw中删除。
阻止某个特定的IP
使用以下命令阻止来自特定IP(例如123.57.22.204)的连接:
1 | |
允许特定IP访问特定端口
使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:
1 | |
例如,要允许IP地址192.168.1.10访问TCP端口22,您可以运行:
1 | |
ufw是一个易于使用且功能强大的防火墙管理工具,它使得在Linux系统上配置防火墙规则变得更加简单。