如何在Ubuntu 18.04上使用UFW设置防火墙

介绍

我们可以用iptable对防火墙进行设置。虽然iptables是一个可靠而灵活的工具，但初学者很难学会如何使用它来正确配置防火墙。如果您希望开始保护网络，并且您不确定使用哪种工具，UFW可能是您的正确选择。

本教程将向您展示如何在Ubuntu 18.04上使用UFW设置防火墙。

准备

一台Ubuntu 18.04的服务，一个可以使用sudo命令的非root账户；没有服务器的用户可以购买和使用腾讯云服务器或者直接在腾讯云实验室Ubuntu服务器上动手实践。

UFW默认安装在Ubuntu上的，如果由于某种原因已经卸载，您可以用以下命令安装它：

$ sudo apt install ufw

第一步，将IPv6与UFW一起使用（可选）

本教程是在考虑IPv4的情况下编写的，但只要您启用IPv6，它将适用于IPv6。如果您的Ubuntu服务器已启用IPv6，请确保将UFW配置为支持IPv6，以便除IPv4之外还管理IPv6的防火墙规则。要执行此操作，请使用nano或者您喜欢的编辑器打开UFW配置。

$ sudo nano /etc/default/ufw

然后确定IPV6后面的值是yes。它应该如下所示：

/etc/default/ufw excerpt

IPV6=yes

保存并关闭文件。现在，当启用UFW时，它将配置为同时写入IPv4和IPv6防火墙规则。但是，在启用UFW之前，我们需要确保将防火墙配置为允许您通过SSH进行连接。让我们从设置默认策略开始。

第二步，设置默认策略

如果您刚刚开始使用防火墙，则要定义的第一个规则是您的默认策略。这些规则控制如何处理未明确匹配任何其他规则的流量。默认情况下，UFW设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图访问您的服务器的人都无法连接，而服务器中的任何应用程序都可以访问外部世界。

让我们将您的UFW规则设置回默认值，以便我们确保您能够按照本教程进行操作。要设置UFW使用的默认值，请使用以下命令：

$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing

这些命令将默认设置为拒绝传入并允许传出连接。仅这些防火墙默认值可能足以用于个人计算机，但服务器通常需要响应来自外部用户的传入请求。我们接下来会调整一下。

第三步， 允许SSH连接

如果我们现在启用了我们的UFW防火墙，它将拒绝所有传入的连接。这意味着，如果我们希望服务器响应这些类型的请求，我们将需要创建明确允许合法传入连接的规则 - 例如SSH或HTTP连接。如果您使用的是云服务器，则可能需要允许传入的SSH连接，以便连接和管理服务器。

要将服务器配置为允许传入SSH连接，可以使用以下命令：

$ sudo ufw allow ssh

这将创建防火墙规则，允许22端口上的所有连接，这是SSH程序默认的端口。UFW知道端口的allow ssh含义，因为它在/etc/services文件中定义好了。

但是，我们实际上可以通过指定端口而不是服务名来编写等效规则。例如，此命令与上面的命令相同：

$ sudo ufw allow 22

如果将SSH程序配置为使用其他端口，则必须指定相应的端口。例如，如果SSH服务器正在侦听端口2222，则可以使用此命令允许该端口上的连接：

$ sudo ufw allow 2222

现在您的防火墙已配置为允许传入SSH连接，我们可以启用它。

第四步， 启用UFW

要启用UFW，请使用以下命令：

$ sudo ufw enable

您将收到一条警告，提示该命令可能会破坏现有的SSH连接。但是我们已经设置了允许SSH连接的防火墙规则，因此可以继续。输入y在按Enter。

防火墙现在处于活动状态。运行sudo ufw status verbose命令，查看已设置的规则。本教程的其余部分将介绍如何更详细地使用UFW，例如允许或拒绝不同类型的连接。

第五步，允许其他连接

此时，您应该要设置服务响应，你所需要的连接的请求。幸运的是，您已经知道如何编写允许基于服务名称或端口的连接的规则; 我们已经在端口22上为SSH编写了规程。你也可以这样做：

• 端口80上的HTTP，这是未加密的Web服务器使用的，使用sudo ufw allow http或sudo ufw allow 80
• 端口443上的HTTPS，这是加密的Web服务器使用的，使用sudo ufw allow https或sudo ufw allow 443

除了指定端口或已知服务之外，还有其他几种允许其他连接的方法。

特定的端口范围

您可以使用UFW指定端口范围。某些应用程序使用多个端口，而不是单个端口。

例如，为了允许X11连接，它使用的端口6000- 6007，使用这以下命令：

$ sudo ufw allow 6000:6007/tcp
$ sudo ufw allow 6000:6007/udp

使用UFW指定端口范围时，必须指定规则应适用的协议（tcp或udp）。我们之前没有提到这一点，因为没有指定协议会自动允许两种协议，这在大多数情况下都可以。

特定的IP地址

使用UFW时，您还可以指定IP地址。例如，如果要允许来自特定IP地址的连接（例如工作或家庭IP地址）203.0.113.4，则需要from指定IP地址：

$ sudo ufw allow from 203.0.113.4

您还可以通过添加to any port后跟端口号来指定允许IP地址连接的特定端口。例如，如果要允许203.0.113.4连接到端口22（SSH），请使用以下命令：

$ sudo ufw allow from 203.0.113.4 to any port 22

子网

如果要允许IP地址子网，可以使用CIDR表示法指定网络掩码。例如，如果你想允许范围从203.0.113.1到203.0.113.254的所有IP地址，你可以使用这个命令：

$ sudo ufw allow from 203.0.113.0/24

同样，您也可以指定203.0.113.0/24允许子网连接的目标端口。同样，我们将使用端口22（SSH）作为示例：

$ sudo ufw allow from 203.0.113.0/24 to any port 22

与特定网络接口的连接

如果创建仅适用于特定网络接口的防火墙规则，可以通过指定“允许接通”，然后指定网络接口的名称来执行此操作。

先查找网络接口，请使用以下命令：

$ip addr

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
. . .
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
. . .

网口通常会被命名为eth0 或者 enp3s2 。

因此，如果您的服务器调用了公共网络接口eth0，则可以使用以下命令允许HTTP流量（80端口）：

$ sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器从公共互联网接收HTTP请求。

或者，如果您希望MySQL数据库服务器（端口3306）侦听专用网络接口上的连接eth1，例如，您可以使用此命令：

$ sudo ufw allow in on eth1 to any port 3306

这将允许专用网络上的其他服务器连接到MySQL数据库。

第六步，拒绝连接

如果尚未更改传入连接的默认策略，则UFW配置为拒绝所有传入连接。通常，这会通过要求您创建明确允许特定端口和IP地址的规则，来简化创建安全防火墙策略的过程。

但是，有时您会希望根据源IP地址或子网拒绝特定连接，可能是因为您知道您的服务器正在受到攻击。此外，如果要将默认传入策略更改为允许（不建议这样做），则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。

要编写拒绝规则，您也可以使用上述命令，只要将allow替换为deny。

例如，要拒绝HTTP连接，可以使用以下命令：

$ sudo ufw deny http

或者，如果要拒绝来自203.0.113.4您的所有连接，可以使用以下命令：

$ sudo ufw deny from 203.0.113.4

现在让我们来看看如何删除规则。

第七步，删除规则

了解如何删除防火墙规则与了解如何创建防火墙规则同样重要。有两种不同的方法可以指定要删除的规则：按规则编号或实际规则（类似于创建规则时所用的规则）。我们将从规则编号方法删除开始，因为它更容易。

按规则编号

如果您使用规则编号删除防火墙规则，那么您要做的第一件事就是获取防火墙规则列表。UFW status命令可以选择显示每个规则旁边的数字，如下所示：

￥sudo ufw status numbered

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

如果我们决定要删除允许端口80（HTTP）连接的规则2，我们可以在UFW删除命令中指定它，如下所示：

$ sudo ufw delete 2

这将显示确认提示，然后删除规则2，允许HTTP连接。请注意，如果启用了IPv6，则还需要删除相应的IPv6规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。例如，如果要删除allow http规则，可以这样写：

$ sudo ufw delete allow http

您还可以通过allow 80而不是按服务名称来指定规则：

$ sudo ufw delete allow 80

此方法将删除IPv4和IPv6规则（如果存在）。

第八步， 检查UFW状态和规则

您可以随时使用以下命令检查UFW的状态：

$ sudo ufw status verbose

如果UFW被禁用，默认情况下，你会看到如下内容：

Status: inactive

如果UFW处于活动状态，如果您按照步骤3进行操作，输出将表明它处于活动状态，并且它将列出所有已设置的规则。例如，如果防火墙设置为允许来自任何位置的SSH（22端口）连接，则输出可能如下所示：

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere

status如果要检查UFW如何配置防火墙，请使用此命令。

第九步，禁用或重置UFW（可选）

如果您决定不想使用UFW，可以使用以下命令禁用它：

$ sudo ufw disable

您使用UFW创建的任何规则将不再处于活动状态。sudo ufw enable如果以后需要激活，可以随时运行。

如果您已经配置了UFW规则但是重置UFW，则可以使用reset命令：

$ sudo ufw reset

请注意，这是重置命令，将会清楚之前已经添加的UFW规则，所以在运行这个命令，一定要想清楚！

结论

您的防火墙现在配置为允许（至少）SSH连接。确保允许服务器的任何其他传入连接，同时限制任何不必要的连接，以确保您的服务器正常工作和安全。

参考文献：《How To Set Up a Firewall with UFW on Ubuntu 18.04》