前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何在Debian 9上使用UFW设置防火墙

如何在Debian 9上使用UFW设置防火墙

原创
作者头像
灬半痴
修改2018-11-05 17:54:16
7K0
修改2018-11-05 17:54:16
举报
文章被收录于专栏:云计算教程系列
不使用Debian 9?选择其他版本:

介绍

UFW或简单防火墙是一个连接至iptables的接口,旨在简化配置防火墙的过程。虽然iptables是一个可靠而灵活的工具,但初学者很难学会如何使用它来正确配置防火墙。如果您希望开始保护网络,并且您不确定使用哪种工具,UFW可能是您的正确选择。

本教程将向您展示如何在Debian 9上使用UFW设置防火墙。

先决条件

要学习本教程,您需要一台具有sudo权限的非root用户的One Debian 9服务器,没有服务器的同学可以在这里购买,不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验,学会安装后再购买服务器

您可以按照Debian 9初始服务器设置教程中的步骤1-3进行设置

第1步 - 安装UFW

Debian默认不安装UFW。如果您完成了整个初始服务器安装教程,那么您已经安装并启用了UFW。如果没有,请立即使用apt安装它:

代码语言:javascript
复制
sudo apt install ufw

我们将设置UFW并按以下步骤启用它。

第2步 - 将IPv6与UFW一起使用(可选)

本教程是在考虑IPv4的情况下编写的,但只要您启用IPv6,它将适用于IPv6。如果您的Debian服务器已启用IPv6,请确保将UFW配置为支持IPv6,以便除IPv4之外还管理IPv6的防火墙规则。要执行此操作,请使用nano或者其他您喜欢的编辑器打开UFW配置。

代码语言:javascript
复制
sudo nano /etc/default/ufw

然后确定IPV6的值为yes。它应该如下所示:

代码语言:javascript
复制
IPV6=yes

保存并关闭文件。现在,当启用UFW时,它将配置为同时写入IPv4和IPv6防火墙规则。但是,在启用UFW之前,我们需要确保将防火墙配置为允许您通过SSH进行连接。让我们从设置默认策略开始。

第3步 - 设置默认策略

如果您刚刚开始使用防火墙,则要定义的第一个规则是您的默认策略。这些规则控制如何处理未明确匹配任何其他规则的流量。默认情况下,UFW设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图访问您的服务器的人都无法连接,而服务器中的任何应用程序都可以访问外部世界。

让我们将您的UFW规则设置回默认值,以便我们确保您能够按照本教程进行操作。要设置UFW使用的默认值,请使用以下命令:

代码语言:javascript
复制
sudo ufw default deny incoming
sudo ufw default allow outgoing

这些命令将默认设置为拒绝传入并允许传出连接。仅这些防火墙默认值可能足以用于个人计算机,但服务器通常需要响应来自外部用户的传入请求。我们接下来会调查一下。

第4步 - 允许SSH连接

如果我们现在启用了我们的UFW防火墙,它将拒绝所有传入的连接。这意味着,如果我们希望服务器响应这些类型的请求,我们将需要创建明确允许合法传入连接的规则 - 例如SSH或HTTP连接。如果您使用的是云服务器,则可能需要允许传入的SSH连接,以便连接和管理服务器。

要将服务器配置为允许传入SSH连接,可以使用以下命令:

代码语言:javascript
复制
sudo ufw allow ssh

这将创建防火墙规则,允许端口22上的所有连接,这是SSH守护程序默认侦听的端口。UFW知道端口allow ssh的含义,因为它在/etc/services文件中被列为服务。

但是,我们实际上可以通过指定端口而不是服务名来编写等效规则。例如,此命令与上面的命令相同:

代码语言:javascript
复制
sudo ufw allow 22

如果将SSH守护程序配置为使用其他端口,则必须指定相应的端口。例如,如果SSH服务器正在侦听端口2222,则可以使用此命令允许该端口上的连接:

代码语言:javascript
复制
sudo ufw allow 2222

现在您的防火墙已配置为允许传入SSH连接,我们可以启用它。

第5步 - 启用UFW

要启用UFW,请使用以下命令:

代码语言:javascript
复制
sudo ufw enable

您将收到一条警告,指出该命令可能会破坏现有的SSH连接。我们已经设置了允许SSH连接的防火墙规则,因此可以继续。用y来响应提示然后点击ENTER

防火墙现在处于活动状态。运行该sudo ufw status verbose命令以查看已设置的规则。本教程的其余部分将介绍如何更详细地使用UFW,例如允许或拒绝不同类型的连接。

第6步 - 允许其他连接

此时,您应该允许服务器需要响应的所有其他连接。您应该允许的连接取决于您的特定需求。幸运的是,您已经知道如何编写允许基于服务名称或端口的连接的规则; 我们已经在端口22上为SSH做了这个。你也可以这样做:

  • 端口80上的HTTP,这是未加密的Web服务器使用的,使用sudo ufw allow httpsudo ufw allow 80
  • 端口443上的HTTPS,这是加密的Web服务器使用的,使用sudo ufw allow httpssudo ufw allow 443

除了指定端口或已知服务之外,还有其他几种允许其他连接的方法。

特定端口范围

您可以使用UFW指定端口范围。某些应用程序使用多个端口,而不是单个端口。

例如,为了允许X11连接,它使用的是端口6000- 6007,使用这些命令:

代码语言:javascript
复制
sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

使用UFW指定端口范围时,必须指定规则应适用的协议(tcpudp)。我们之前没有提到这一点,因为没有指定协议会自动允许两种协议,这在大多数情况下都可以。

特定的IP地址

使用UFW时,您还可以指定IP地址。例如,如果要允许来自特定IP地址的连接(例如工作或家庭IP地址为203.0.113.4),则需要指定from,然后才是IP地址:

代码语言:javascript
复制
sudo ufw allow from 203.0.113.4

您还可以通过添加后跟端口号的to any port来指定允许IP地址连接的特定端口。例如,如果要允许203.0.113.4连接到端口22(SSH),请使用以下命令:

代码语言:javascript
复制
sudo ufw allow from 203.0.113.4 to any port 22

子网

如果要允许IP地址子网,可以使用CIDR表示法指定网络掩码。例如,如果你想允许所有的IP地址范围从203.0.113.1203.0.113.254,你可以使用这个命令:

代码语言:javascript
复制
sudo ufw allow from 203.0.113.0/24

同样,您也可以指定允许子网203.0.113.0/24连接的目标端口。同样,我们将使用端口22(SSH)作为示例:

代码语言:javascript
复制
sudo ufw allow from 203.0.113.0/24 to any port 22

与特定网络接口的连接

如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定“允许接通”,然后指定网络接口的名称来执行此操作。

您可能希望在继续之前查找网络接口。为此,请使用以下命令:

代码语言:javascript
复制
ip addr
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
. . .
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
. . .

突出显示的输出表示网络接口名称。它们通常被命名为eth0或者enp3s2

因此,如果您的服务器有一个名叫eth0的公共网络接口,则可以使用以下命令允许HTTP流量(端口80):

代码语言:javascript
复制
sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器从公共互联网接收HTTP请求。

或者,如果您希望MySQL数据库服务器(端口3306)侦听专用网络接口eth1上的连接,例如,您可以使用此命令:

代码语言:javascript
复制
sudo ufw allow in on eth1 to any port 3306

这将允许专用网络上的其他服务器连接到MySQL数据库。

第7步 - 拒绝连接

如果尚未更改传入连接的默认策略,则UFW配置为拒绝所有传入连接。通常,这会通过要求您创建明确允许特定端口和IP地址的规则来简化创建安全防火墙策略的过程。

但是,有时您会希望根据源IP地址或子网拒绝特定连接,可能是因为您知道您的服务器正在受到攻击。此外,如果要将默认传入策略更改为允许(不建议这样做),则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。

要编写拒绝规则,您可以使用上述命令,将allow替换为deny

例如,要拒绝HTTP连接,可以使用以下命令:

代码语言:javascript
复制
sudo ufw deny http

或者,如果要拒绝来自203.0.113.4上的所有连接,可以使用以下命令:

代码语言:javascript
复制
sudo ufw deny from 203.0.113.4

现在让我们来看看如何删除规则。

第8步 - 删除规则

了解如何删除防火墙规则与了解如何创建防火墙规则同样重要。有两种不同的方法可以指定要删除的规则:按规则编号或实际规则(类似于创建规则时的规则)。我们将从规则编号方法删除开始,因为它更容易。

按规则编号

如果您使用规则编号删除防火墙规则,那么您要做的第一件事就是获取防火墙规则列表。UFW status命令可以选择显示每个规则旁边的数字,如下所示:

代码语言:javascript
复制
sudo ufw status numbered
Status: active
​
     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

如果我们决定要删除允许端口80(HTTP)连接的规则2,我们可以在UFW删除命令中指定它,如下所示:

代码语言:javascript
复制
sudo ufw delete 2

这将显示确认提示,然后删除规则2,允许HTTP连接。请注意,如果启用了IPv6,则还需要删除相应的IPv6规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。例如,如果要删除allow http规则,可以这样写:

代码语言:javascript
复制
sudo ufw delete allow http

您还可以通过allow 80而不是按服务名称来指定规则:

代码语言:javascript
复制
sudo ufw delete allow 80

此方法将删除IPv4和IPv6规则(如果存在)。

步骤9 - 检查UFW状态和规则

您可以随时使用以下命令检查UFW的状态:

代码语言:javascript
复制
sudo ufw status verbose

如果UFW被禁用,默认情况下,你会看到如下内容:

代码语言:javascript
复制
Status: inactive

如果UFW处于活动状态,如果您按照步骤3进行操作,输出将表明它处于活动状态,并且它将列出所有已设置的规则。例如,如果防火墙设置为允许来自任何位置的SSH(端口22)连接,则输出可能如下所示:

代码语言:javascript
复制
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
​
To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere

如果要检查UFW如何配置防火墙,请使用此status命令。

第10步 - 禁用或重置UFW(可选)

如果您决定不想使用UFW,可以使用以下命令禁用它:

代码语言:javascript
复制
sudo ufw disable

您使用UFW创建的任何规则将不再处于活动状态。如果以后需要激活,可以随时运行sudo ufw enable

如果您已经配置了UFW规则但是您决定要重新开始,则可以使用reset命令:

代码语言:javascript
复制
sudo ufw reset

这将禁用UFW并删除先前定义的任何规则。请注意,如果您在任何时候修改了默认策略,默认策略都不会更改为原始设置。这应该会让你重新开始使用UFW。

结论

您的防火墙现在配置为允许(至少)SSH连接。确保允许服务器的任何其他传入连接,同时限制任何不必要的连接,以便您的服务器功能和安全。

更多Debian教程请前往腾讯云+社区学习更多知识。


参考文献:《How To Set Up a Firewall with UFW on Debian 9》

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 介绍
  • 先决条件
  • 第1步 - 安装UFW
  • 第2步 - 将IPv6与UFW一起使用(可选)
  • 第3步 - 设置默认策略
  • 第4步 - 允许SSH连接
  • 第5步 - 启用UFW
  • 第6步 - 允许其他连接
    • 特定端口范围
      • 特定的IP地址
        • 子网
          • 与特定网络接口的连接
          • 第7步 - 拒绝连接
          • 第8步 - 删除规则
            • 按规则编号
              • 按实际规则
              • 步骤9 - 检查UFW状态和规则
              • 第10步 - 禁用或重置UFW(可选)
              • 结论
              相关产品与服务
              云服务器
              云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
              领券
              问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档