个人工具
登录
查看“Ufw使用指南”的源代码 - Ubuntu中文
页面
讨论
查看源代码
历史
搜索
导航
首页
最近更改
随机页面
页面分类
帮助
编辑
编辑指南
沙盒
新闻动态
字词处理
工具
链入页面
相关更改
特殊页面
页面信息
查看“Ufw使用指南”的源代码
来自Ubuntu中文
←
Ufw使用指南
跳转至:
导航
,
搜索
因为以下原因,你没有权限编辑本页:
您所请求的操作仅限于该用户组的用户使用:
用户
您可以查看与复制此页面的源代码。
== 描述 == 此程序(ufw)是为了使linux防火墙更易于使用和管理。(通常已默认安装) ufw与其它linux类防火墙一样,使用iptable作为后台。 安装方法: sudo apt-get install ufw == 用法(复述中文含意) == []是代表可选内容。可能需要root权限,如无法运行,请使用 sudo ufw……的命令结构。“”中的内容不能照抄,要按需要更改。 ufw [--dry-run] enable|disable|reload 命令[--试运行]激活|关闭|重新载入 ufw [--dry-run] default allow|deny|reject [incoming|outgoing] 命令[--试运行]默认 允许|阻止|拒绝 [访问本机的规则|向外访问的规则] 注:reject让访问者知道数据被拒绝(回馈拒绝信息)。deny则直接丢弃访问数据,访问者不知道是访问被拒绝还是不存在该主机。 ufw [--dry-run] logging on|off|LEVEL 命令[--试运行]日志 开启|关闭|“级别” ufw [--dry-run] reset 命令[--试运行]复位 ufw [--dry-run] status [verbose|numbered] 命令[--试运行]状态 [详细|被编号的规则] ufw [--dry-run] show REPORT 命令[--试运行]显示 “报告类型” ufw [--dry-run] [delete] [insert NUM] allow|deny|reject|limit [in|out][log|log-all] PORT[/protocol] 命令[--试运行][删除] [插到“x号规则”之前] 允许|阻止|拒绝|限制 [进|出] [记录新连接|记录所有数据包] “端口” [/“协议”] ufw [--dry-run] [delete] [insert NUM] allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]] [to ADDRESS [port PORT]] 命令 [--试运行][删除][插到x号规则之前] 允许|阻止|拒绝|限制 [进|出 基于“什么网络设备”] [协议 “协议”] [来源 “地址” [端口 “端口”]] [目标 “地址” [端口 “端口”]] ufw [--dry-run] delete NUM 命令[--试运行] 删除 “第X号规则” ufw [--dry-run] app list|info|default|update 命令 [--试运行] 程序 清单|信息|默认|更新 == 参数 == --version 显示程序版本号 -h , --help 显示帮助信息 --dry-run 不实际运行,只是把涉及的更改显示出来。 enable 激活防火墙,开机时自动启动 disable 关闭防火墙,开机时不启动 reload 重新载入防火墙 default allow|deny|reject 方向 方向是指:向内(incoming)|向外(outgoing)。如果更改了默认策略,一些已经存在的规则可能需要手动修改。更多内容看“规则示例”一节。 logging on|off|“级别” 切换日志状态。日志记录包使用的是系统日志。“级别”有好几个,默认是低级(low)。详细内容看“日志”一节。 reset [--force] 关闭防火墙,并复位至初始安装状态。如果使用--force选项,则忽略确认提示。 status 显示防火墙的状态和已经设定的规则。使用status verbose显示更详细的信息。‘anywhere’与‘any’、‘0.0.0.0/0’一个意思。 show “报告类型” 显示防火墙运行信息。详细内容看“报告类型” limit “规则” 此命令目前只能用于IPv4。还不支持IPv6. == 规则示例 == *规则可以简写也可以完整表达。简写的规则只能指定端口和(或)协议被允许或阻止。默认是访问本机的规则(incoming)。例如: ufw allow 53 允许其它机子访问本机53端口,协议包含tcp和udp。 *如果要控制协议,只要加入“/协议”在端口后面就行了。例如: ufw allow 25/tcp 允许其它机子使用tcp协议访问25端口。 *UFW也可以检查 /etc/services文件,明白服务的名字及对应的端口和协议。我们使用服务的名称即可。 ufw allow smtp *UFW同时支持出入口过滤。用户可以使用in或out来指定向内还是向外。如果未指定,默认是in。例如: ufw allow in http ufw reject out smtp ufw deny out to 192.168.1.1 阻止向192.168.1.1发送信息 *用户也可使用完整的规则来指定来源与目的地,还有端口。书写规则基于OpenBSD PF。举例: ufw deny proto tcp to any port 80 阻止本机用tcp协议在80端口发数据 ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 25 This will deny all traffic from the RFC1918 Class A network to tcp port 25 with the address 192.168.0.1.(这条命令目前无法翻译 from 和 to的关系,希望后来者更改) *ufw也可以使用IPv6协议。但要事先在/etc/default/ufw 中设定IPv6为启动状态。举例: ufw deny proto tcp from 2001:db8::/32 to any port 25 阻止IPv6为2001:db8::/32类型的地址,连接本机25端口 *ufw可以连续例举端口号。端口号间必须使用逗号或分号,不能使用空格。“输入端口号”字符数最多不能超过15过(8080:8090算两个字符)。比如允许80,443,8080~8090这几个端口接受tcp传入连接。 ufw allow proto tcp from any to any port 80,443,8080:8090 此例,“输入端口号”字符数为4个。 *ufw可以对连接数率进行限制,以防范暴力登录攻击。如果同一个IP地址在30秒之内进行了6次及6次以上的连接,ufw将阻止(deny)该连接。[http://www.debian-administration.org/articles/187 可以查看更多信息]。 ufw limit ssh/tcp *当然有些时候我们想让访问者知道他的访问被拒绝了,而不是保持沉默让他不知道哪出了问题。就使用reject代替deny ufw reject auth *默认情况下ufw的所有规则针对所有网络设备(比如网卡1,网卡2,无线网卡1,虚拟网卡1……)。但是我们可以特别指定,某规则在什么网络设备上生效。注意只能使用设备号,不能用别名。比如有线网卡:eth0(你可以使用ifconfig命令查看你现有的网络设备) ufw allow in on eth0 to any port 80 proto tcp *要删除规则,只要在命令中加入delete就行了。比如: ufw deny 80/tcp 要删除这条命令建立的规则,使用: ufw delete deny 80/tcp 当然,也可以使用规则号来进行删除。比如要第3号规则 ufw delete 3 注意,如果你开启IPv6功能。要同时删除IPv4和IPv6的规则(比如:ufw allow 22/tcp),如果用规则号的方式删除可能只删除了一个。 *显示第几号规则,可以使用这样的命令 ufw status numbered(也就是规则号) *日志功能。如果使用log将记录所有符合规则的新连接,如果使用log-all将记录所有符合规则的数据包。例如,要允许并记录shh(22/tcp)上的新连接: ufw allow log 22/tcp 更多内容看“日志”一节 特殊例子: 允许RFC1918网络结构访问本机: ufw allow from 10.0.0.0/8 ufw allow from 172.16.0.0/12 ufw allow from 192.168.0.0/16 其实这个就是用CIDR(无类别域间路由选择 ,Classless and Subnet Address Extensions and Supernetting)的形式表示的一个网段,或者说子网。 192.168.0.0/24”就表示,这个网段的IP地址从192.168.0.1开始,到192.168.0.254结束(192.168.0.0和192.168.0.255有特殊含义,不能用作IP地址);子网掩码是255.255.255.0。 上面的子网掩码怎么来的呢?其实关键就在“24”上。我们知道IP地址是四个十进制数组成的,相当于32位二进制。用CIDR表示形式,后一个数字将这32位进行了间隔(以24为例):前24位用"1"表示,后面8位用0表示,得到一个二进制数: 11111111 11111111 11111111 00000000。 将其转化为十进制,就是:255.255.255.0了。 对应的: /8 就是 255.0.0.0; /16就是 255.255.0.0 == 远程管理 == 此章节还未被编辑 == 应用程序集成管理 == *ufw能从 /etc/ufw/applications.d. 中读取应用程序清单。你可以使用命令查看: ufw app list *大家可以使用应用程序名字来增加规则。比如 ufw allow <程序名字> ufw allow CUPS ufw allow from 192.168.0.0/16 to any app <程序名字> 注意,端口号已经被程序名所对应的策略所包括,不要再重新列举端口号。 *查看程序名所对应的策略内容,命令: ufw app into <程序名字> 注意:程序名字是清单上有的才行。程序名字改用用all,可以看全部策略。 *如果你编辑或者增加了程序清单,你可使用此命令更新防火墙: ufw app update <程序名字> 程序名字改用用all,则更新整个清单。 *更新清单同时增加规则可以使用如下命令: ufw app update --add-new <程序名字> 注意:update --add-new参数的行为由此命令配置: ufw app default skip|allow|deny 默认是skip,也就是没有设定。 警告:如果程序规则设定为default allow ,将会引起很大的风险。请三思而后行! == 日志 == ufw支持许多日志级别。默认是低级(low),用户也可以自己指定: ufw logging on|off|low|medium|high|full *off 就是关闭日志 *low 记录与默认策略冲突的封装数据包(记录速度被限制)。记录与规则符合的数据包(没有要求关闭记录的) *medium 记录与默认策略冲突的数据包(包括被规则允许的)、无效数据包、所有新连接。记录速度被限制。 *high 同medium,只是没有记录速度限制。附加记录所有数据包(有记录速度限制)。 *full 与high等同,只是取消记录限制。 medium级别及更上级会记录许多内容,有可能短时间内撑爆你的硬盘。特别是用在服务器一类的机器上。 on与off只是起开关作用,不代表级别。 == 报告 == ufw的报告是基于系统。使用形式是iptable格式: *raw 完整报告,下面是该报告的细选。 *builtins *before-rules *user-rules *logging-rules *listening 显示系统对tcp的监听和udp的开放状态。同时显示被监听端口的地址。如果地址变为“*”,说明该端口对所有地址开放。接下来是显示可能影响该端口的规则。
返回至
Ufw使用指南
。