防火墙是用于监视和过滤传入和传出网络流量的工具。 它通过定义一组确定是允许还是阻止特定流量的安全规则来工作。

Ubuntu随附了一个称为UFW(非复杂防火墙)的防火墙配置工具。 它是用于管理iptables防火墙规则的用户友好型前端。 它的主要目标是使防火墙的管理变得更容易,或者顾名思义,变得简单。

本文介绍了如何使用UFW工具在Ubuntu 20.04上配置和管理防火墙。 正确配置的防火墙是整个系统安全的最重要方面之一。

先决条件

只有root或具有 sudo权限的用户可以管理系统防火墙。 最佳做法是以sudo用户身份运行管理任务。

安装UFW

UFW是标准Ubuntu 20.04安装的一部分,应该存在于您的系统中。 如果由于某种原因未安装,则可以通过键入以下内容来安装软件包:

sudo apt update

检查UFW状态

UFW默认情况下处于禁用状态。 您可以使用以下命令检查UFW服务的状态:

sudo ufw status verbose

输出将显示防火墙状态为非活动:

Status: inactive

如果UFW已激活,则输出将类似于以下内容:

Status: active

UFW默认策略

UFW防火墙的默认行为是阻止所有传入和转发流量,并允许所有出站流量。 这意味着除非您专门打开端口,否则任何尝试访问您的服务器的人都将无法连接。 服务器上运行的应用程序和服务将可以访问外界。

默认策略在/etc/default/ufw文件中定义,可以通过手动修改文件或使用sudo ufw default <policy> <chain>命令来更改。

防火墙策略是建立更复杂和用户定义的规则的基础。 通常,最初的UFW默认策略是一个很好的起点。

应用配置文件

应用程序配置文件是INI格式的文本文件,描述了服务并包含该服务的防火墙规则。 在安装软件包期间,会在/etc/ufw/applications.d目录中创建应用程序配置文件。

您可以通过键入以下内容列出服务器上所有可用的应用程序配置文件:

sudo ufw app list

根据系统上安装的软件包,输出看起来类似于以下内容:

Available applications:
  Nginx Full
  Nginx HTTP
  Nginx HTTPS
  OpenSSH

要查找有关特定配置文件和包含的规则的更多信息,请使用以下命令:

sudo ufw app info 'Nginx Full'

输出显示“ Nginx Full”配置文件打开了端口80443

Profile: Nginx Full
Title: Web Server (Nginx, HTTP + HTTPS)
Description: Small, but very powerful and efficient web server

Ports:
  80,443/tcp

您也可以为应用创建自定义配置文件。

启用UFW

如果要从远程位置连接到Ubuntu,则在启用UFW防火墙之前,必须明确允许传入的SSH连接。 否则,您将无法连接到计算机。

要将您的UFW防火墙配置为允许传入的SSH连接,请键入以下命令:

sudo ufw allow ssh
Rules updated
Rules updated (v6)

如果SSH在非标准端口上运行,则需要打开该端口。

例如,如果您的ssh守护程序侦听端口7722,请输入以下命令以允许该端口上的连接:

sudo ufw allow 7722/tcp

现在已将防火墙配置为允许传入的SSH连接,您可以通过键入以下内容来启用它:

sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

将警告您启用防火墙可能会破坏现有的ssh连接,只需键入y并单击Enter

打开端口

根据系统上运行的应用程序,您可能还需要打开其他端口。 打开端口的一般语法如下:

ufw allow port_number/protocol

以下是有关如何允许HTTP连接的几种方法。

第一种选择是使用服务名称。 UFW检查/etc/services文件中指定服务的端口和协议:

sudo ufw allow http

您还可以指定端口号和协议:

sudo ufw allow 80/tcp

如果未给出协议,则UFW会同时为tcpudp创建规则。

另一个选择是使用应用程序配置文件; 在这种情况下,“ Nginx HTTP”:

sudo ufw allow 'Nginx HTTP'

UFW还支持使用proto关键字指定协议的另一种语法:

sudo ufw allow proto tcp to any port 80

端口范围

UFW还允许您打开端口范围。 起始端口和结束端口用冒号(:)分隔,并且您必须指定协议tcpudp

例如,如果要同时在tcpudp上允许端口从71007200,则可以运行以下命令:

sudo ufw allow 7100:7200/tcp

特定的IP地址和端口

要允许来自给定源IP的所有端口上的连接,请使用from关键字,后跟源地址。

以下是将IP地址列入白名单的示例:

sudo ufw allow from 64.63.62.61

如果要仅允许给定IP地址访问特定端口,请使用to any port关键字,后跟端口号。

例如,要允许IP地址为64.63.62.61的计算机访问端口22,请输入:

sudo ufw allow from 64.63.62.61 to any port 22

子网

允许连接到IP地址子网的语法与使用单个IP地址时的语法相同。 唯一的区别是您需要指定子网掩码。

下面是一个示例,显示了如何允许访问从192.168.1.1192.168.1.254的IP地址到端口3360 MySQL ):

sudo ufw allow from 192.168.1.0/24 to any port 3306

特定网络接口

要允许在特定的网络接口上进行连接,请使用in on关键字,后跟网络接口(网卡)的名称:

sudo ufw allow in on eth2 to any port 3306

拒绝连接

所有传入连接的默认策略均设置为deny,如果您未更改默认策略,除非您专门打开连接,否则UFW会阻止所有传入连接。

撰写拒绝规则与撰写允许规则相同; 您只需要使用deny关键字而不是allow

假设您打开了端口80443,并且服务器受到23.24.25.0/24网络的攻击。 要拒绝来自23.24.25.0/24的所有连接,您可以运行以下命令:

sudo ufw deny from 23.24.25.0/24

以下是拒绝访问23.24.25.0/24中的端口80443的示例,您可以使用以下命令:

sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443

删除UFW规则

有两种方法可以通过规则编号和指定实际规则来删除UFW规则。

按规则号删除规则比较容易,尤其是当您不熟悉UFW时。 要首先通过规则编号删除规则,您需要找到要删除的规则的编号。 要获取编号规则的列表,请使用ufw status numbered命令:

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 80/tcp                     ALLOW IN    Anywhere
[ 3] 8080/tcp                   ALLOW IN    Anywhere

要删除规则号3,该规则号允许连接到端口8080,请输入:

sudo ufw delete 3

第二种方法是通过指定实际规则来删除规则。 例如,如果您添加了打开端口8069的规则,则可以使用以下命令将其删除:

sudo ufw delete allow 8069

禁用UFW

如果出于任何原因要停止UFW并停用所有规则,则可以使用:

sudo ufw disable

以后,如果您想重新启用UTF并激活所有规则,只需键入:

sudo ufw enable

重设UFW

重置UFW将禁用UFW,并删除所有活动规则。 如果您想还原所有更改并重新开始,这将很有帮助。

要重置UFW,请输入以下命令:

sudo ufw reset

IP伪装

IP伪装是Linux内核中NAT(网络地址转换)的一种变体,它通过重写源IP地址和目标IP地址和端口来转换网络流量。 借助IP伪装,您可以使用一台充当网关的Linux计算机,允许专用网络中的一台或多台计算机与Internet通信。

使用UFW配置IP伪装涉及几个步骤。

首先,您需要启用IP转发。 为此,请打开/etc/ufw/sysctl.conf文件:

sudo nano /etc/ufw/sysctl.conf

查找并取消注释以下行:net.ipv4.ip_forward = 1

/etc/ufw/sysctl.conf

net/ipv4/ip_forward=1

接下来,您需要配置UFW以允许转发数据包。 打开UFW配置文件:

sudo nano /etc/default/ufw

找到DEFAULT_FORWARD_POLICY键,然后将值从DROP更改为ACCEPT

/etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

现在,您需要在nat表中设置POSTROUTING链的默认策略和伪装规则。 为此,请打开/etc/ufw/before.rules文件,如下所示:

sudo nano /etc/ufw/before.rules

附加以下几行:

/etc/ufw/before.rules

#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]

# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

别忘了在-A POSTROUTING行中替换eth0以匹配公共网络接口的名称:

完成后,保存并关闭文件。

最后,通过禁用和重新启用UFW重新加载UFW规则:

sudo ufw disable

结论

我们已向您展示了如何在Ubuntu 20.04服务器上安装和配置UFW防火墙。 在限制所有不必要的连接的同时,请确保允许系统正常运行所需的所有传入连接。

有关此主题的更多信息,请访问 UFW手册页

如果您有任何疑问,请随时在下面发表评论。