注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

Ubuntu防火墙工具: UFW  

2014-01-03 22:55:49|  分类: xtables应用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

       注:ufw是ubuntu系的linux发行系统的本机防火墙,默认情况下,安装后起用ufw后,所有外部对本机的访问都将被拒绝,但本机访问外部资源,即你的主机完全被保护起来了。然后再根据情况分别开放相应的服务就可以了,当然有人想进来找点什么也就不容易了.当然还可以使用iptables来实现.不过笔者会在第一时间升级到linux3.13以上,那样就可以使用nftables了,朋友们的测试说速度提高数倍.
Ubuntu防火墙工具: UFW - itoedr - itoedr的it学苑
iptables中的控制节点
 
        需要强调一句的是,ufw只是对iptables的封将,都还是编译为iptables指令发挥作用。算来不是一个新东西。shorewall就是另一款iptables的封装器。当然redhat7下的firewalld也是对netfilter的功能的封装.
   

1.ufw安装
$ sudo apt-get install ufw
   如果希望进行ui化工具的,也可以安装一个gufw。
$ sudo apt-get install Gufw
Ubuntu防火墙工具: UFW - itoedr - itoedr的it学苑
这里ufw提供的报告功能也可以用于查看设备安全状态
 

2.启用
sudo ufw enable
sudo ufw default deny
      运行以上两条命令后,开启了防火墙,并在系统启动时自动开启。关闭所有外部对本机的访问,但本机访问外部正常。这时我们的主机成为一个意向安全设备了.可以使用nmap一类的工具测试一翻.

 
3.开启/禁用
命令格式:sudo ufw allow|deny [service]

1)打开或关闭某个端口,例如:
sudo ufw allow smtp #允许所有的外部IP访问本机的25/tcp (smtp)端口

sudo ufw allow 22/tcp   #允许所有的外部IP访问本机的22/tcp (ssh)端口
sudo ufw allow 53        #允许外部访问53端口(tcp/udp)

sudo ufw allow from 192.168.1.100       #允许此IP访问所有的本机端口
sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

sudo ufw deny smtp      #禁止外部访问smtp服务
sudo ufw delete allow smtp      #删除上面建立的某条规则

4.查看防火墙状态

sudo ufw status

一般用户,只需如下设置:
sudo apt-get install ufw
sudo ufw enable
sudo ufw default deny

以上三条命令已经足够安全了,如果你需要开放某些服务,再使用sudo ufw allow开启。开启/关闭防火墙 (默认设置是’disable’)

sudo ufw enable|disable

:::::::转换日志状态
sudo ufw logging on|off

设置默认策略 (比如 “mostly open” vs “mostly closed”)
sudo ufw default allow|deny

     许可或者屏蔽端口 (可以在“status” 中查看到服务列表)。可以用“协议:端口”的方式指定一个存在于/etc/services中的服务名称,也可以通过包的meta-data。 ‘allow’ 参数将把条目加入 /etc/ufw/maps ,而 ‘deny’ 则相反。
     基本语法如下:
      sudo ufw allow|deny [service]

       显示防火墙和端口的侦听状态,参见 /var/lib/ufw/maps。括号中的数字将不会被显示出来。
       sudo ufw status

UFW 使用范例:
 允许 53 端口
$ sudo ufw allow 53

禁用 53 端口
$ sudo ufw delete allow 53

允许 80 端口
$ sudo ufw allow 80/tcp

禁用 80 端口
$ sudo ufw delete allow 80/tcp

允许 smtp 端口
$ sudo ufw allow smtp

删除 smtp 端口的许可
$ sudo ufw delete allow smtp

允许某特定 IP
$ sudo ufw allow from 192.168.254.254

删除上面的规则
$ sudo ufw delete allow from 192.168.254.254

nftables将随linux3.13发布,那时也可以再比较二者的性能了.

  评论这张
 
阅读(165)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017