麒麟系统 UFW 操作文档
1. UFW 介绍
ufw(简单防火墙 Uncomplicated FireWall)真正地简化了 iptables,虽然 ufw 的底层依 然会调用 iptables,但是配置防火墙规则时操作更加方便,命令更加简洁,本文档主要介绍 ufw 在银河麒麟系统中的常见操作。
2. 安装 ufw 服务
在银河麒麟系统中可以使用命令“dpkg -l |grep ufw”检查系统中是否安装了 ufw 软件包。 看到软装包状态是“ii”状态则代表已经安装,在银河麒麟系统中默认已经安装了 ufw 服 务,如果遇到没有安装 ufw 服务的情况可以配置光盘源进行安装,安装命令为:“apt-get install ufw”。
3. 启用 ufw 服务
启用 ufw 有特定的命令,直接执行“ufw enable”即可启用,执行“ufw disable”禁用。 在使用 ufw 前必须确保已经启用 ufw,否则配置的规则将无法通过 ufw 命令进行查看。
4. 修改默认规则
在 iptables 中默认规则是指 filter 表中的 INPUT、OUTPUT、FORWARD 三条链的规则, 使用 ufw 服务可以设置 iptables 中 INPUT、OUTPUT、FORWARD 三条链的默认规则,当启 用 ufw 后自动设置 INPUT、OUTPUT 默认规则为 DROP 状态,FORWARD 为 ACCEPT 状态。 启用 ufw 后通过 iptables 可以查看默认规则:
当然也可以通过命令修改默认规则: “ufw default allow”设置默认规则为 ACCEPT 全部放行状态。 “ufw default deny”设置默认规则为 DROP 丢弃状态,当执行完此条命令后。防火墙在系 统启动时自动开启,关闭所有外部对本机的访问,但本机访问外部正常。
5. 开启或禁用端口与协议(服务)
开启或禁用协议的方法:“ufw allow|deny [service]”
开启 snmp 协议:“ufw allow snmp”
开启 ssh 协议:“ufw allow 22/tcp”或“ufw allow ssh”
开启 3306 端口: 禁用 tcp 和 udp 的 80 端口:
禁用 nfs 协议:
注:可以开启或禁用的服务列表可执行命令:“cat /etc/services”进行查看。
6. 特定规则配置
允许特定源 IP 访问: “ufw allow from 192.168.253.155”
限制访问特定目的 IP: “ufw deny to 192.168.253.158”
同时限定源 IP 和目的 IP:“ufw allow from 192.168.0.100 to 192.168.0.200”
指定出入口过滤,用户可以使用 in 或 out 来指定向内还是向外。如果未指定,默认是 in。 允许 htpp 协议进入:“ufw allow in http” 拒绝发出 snmp 协议报文:“ufw reject out smtp” 阻止向 192.168.1.1 发送消息:“ufw deny out to 192.168.1.1”
同时限定协议、端口、IP:“ufw allow proto udp from 192.168.0.1 port 53 to 192.168.0.2 port 53”
允许特定网段访问:“ufw allow proto tcp from 220.181.108.0/24 to any port 4”
指定端口范围添加规则:
允许来自任意址使用 tcp 协议指向任意地址使用端口 80、443、8080-8090 的数据进入 本机:“ufw allow proto tcp from any to any port 80,443,8080:8090”
7. 插入规则
插入规则时需要指定 ID 编号。
在第一条插入规则“allow to any port 8080”:“ufw insert 1 allow to any port 8080”
8. 删除规则
删除规则时可以指定编号或直接删除使用过的规则。
直接删除规则:删除“开启 ssh 协议”规则:“ufw delete allow ssh”
指定 ID 编号删除规则。
删除第一条规则:“ufw delete 1”
9. 其他命令
其他命令及更详细的用法可以参考 man 手册,执行“man 8 ufw”即可获取,也可参考链 接中的博客进行学习 ufw 防火墙配置命令。