如何在 Ubuntu 18.04 上使用 UFW 设置防火墙
介绍
UFW 或 Uncomplicated Firewall 是 iptables 的接口,旨在简化配置防火墙的过程。虽然 iptables 是一个可靠而灵活的工具,但初学者可能很难学习如何使用它来正确配置防火墙。如果您希望开始保护您的网络,并且不确定使用哪种工具,UFW 可能是您的正确选择。
本教程将向您展示如何在 Ubuntu 18.04 上使用 UFW 设置防火墙。
先决条件
要学习本教程,您需要:
- 一台具有
sudo非根用户的 Ubuntu 18.04 服务器,您可以按照 Ubuntu 18.04 初始服务器设置教程中的步骤 1-3 进行设置。
UFW 默认安装在 Ubuntu 上。如果由于某种原因它已被卸载,您可以使用 sudo apt install ufw 安装它。
第 1 步 — 确保 IPv6 已启用
在最新版本的 Ubuntu 中,默认启用 IPv6。实际上,这意味着添加到服务器的大多数防火墙规则将包括 IPv4 和 IPv6 版本,后者由 UFW 的状态命令输出中的 v6 标识。为确保启用 IPv6,您可以在 /etc/default/ufw 检查 UFW 配置文件。使用 nano 或您最喜欢的命令行编辑器打开此文件:
- sudo nano /etc/default/ufw
然后确保 IPV6 的值设置为 yes。它应该是这样的:
IPV6=yes
保存并关闭文件。如果您使用的是 nano,您可以通过输入 CTRL+X,然后输入 Y 和 ENTER 来完成此操作确认。
当在本指南的后续步骤中启用 UFW 时,它将配置为写入 IPv4 和 IPv6 防火墙规则。
第 2 步 — 设置默认策略
如果您刚刚开始使用 UFW,最好的第一步是检查您的默认防火墙策略。这些规则控制如何处理不明确匹配任何其他规则的流量。
默认情况下,UFW 设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图访问您的服务器的人都无法连接,而服务器内的任何应用程序都可以访问外部世界。允许特定服务和端口的附加规则作为此一般策略的例外情况包含在内。
为了确保您能够按照本教程的其余部分进行操作,您现在将为传入和传出流量设置 UFW 默认策略。
要将默认的 UFW 传入策略设置为 deny,请运行:
- sudo ufw default deny incoming
OutputDefault incoming policy changed to 'deny'
(be sure to update your rules accordingly)
要将默认的 UFW 传出策略设置为 allow,请运行:
- sudo ufw default allow outgoing
OutputDefault outgoing policy changed to 'allow'
(be sure to update your rules accordingly)
这些命令将默认值设置为拒绝传入连接并允许传出连接。仅这些防火墙默认值就足以满足个人计算机的需求,但服务器通常需要响应来自外部用户的传入请求。我们接下来会研究这个。
第 3 步 — 允许 SSH 连接
如果您现在启用 UFW 防火墙,它将拒绝所有传入连接。这意味着如果您希望您的服务器响应这些类型的请求,您需要创建明确允许合法传入连接(例如 SSH 或 HTTP 连接)的规则。如果您使用的是云服务器,您可能希望允许传入的 SSH 连接,以便您可以连接到并管理您的服务器。
允许 OpenSSH UFW 应用程序配置文件
安装后,大多数依赖网络连接的应用程序将在 UFW 中注册一个应用程序配置文件,这使用户能够快速允许或拒绝对服务的外部访问。您可以检查当前在 UFW 中注册了哪些配置文件:
- sudo ufw app list
OutputAvailable applications:
OpenSSH
要启用 OpenSSH 应用程序配置文件,请运行:
- sudo ufw allow OpenSSH
OutputRule added
Rule added (v6)
这将创建防火墙规则以允许端口 22 上的所有连接,这是 SSH 守护程序默认侦听的端口。
通过服务名称允许 SSH
另一种配置 UFW 以允许传入 SSH 连接的方法是引用其服务名称:ssh。
- sudo ufw allow ssh
OutputRule added
Rule added (v6)
UFW 根据 /etc/services 文件知道服务使用哪些端口和协议。
通过端口号允许 SSH
或者,您可以通过指定端口而不是应用程序配置文件或服务名称来编写等效规则。例如,此命令的工作方式与前面的示例相同:
- sudo ufw allow 22
OutputRule added
Rule added (v6)
如果您将 SSH 守护程序配置为使用不同的端口,则必须指定适当的端口。例如,如果您的 SSH 服务器正在侦听端口 2222,您可以使用此命令允许该端口上的连接:
- sudo ufw allow 2222
OutputRule added
Rule added (v6)
现在您的防火墙已配置为允许传入的 SSH 连接,您可以启用它。
第 4 步 — 启用 UFW
您的防火墙现在应该配置为允许 SSH 连接。要验证到目前为止添加了哪些规则,即使防火墙仍处于禁用状态,您也可以使用:
- sudo ufw show added
OutputAdded user rules (see 'ufw status' for running firewall):
ufw allow OpenSSH
确认您有允许传入 SSH 连接的规则后,您可以启用防火墙:
- sudo ufw enable
OutputCommand may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
您将收到一条警告,指出该命令可能会中断现有的 SSH 连接。您已经设置了允许 SSH 连接的防火墙规则,因此继续操作应该没问题。使用 y 响应提示并点击 ENTER。
防火墙现在处于活动状态。运行 sudo ufw status verbose 命令以查看设置的规则。本教程的其余部分将更详细地介绍如何使用 UFW,例如允许或拒绝不同类型的连接。
第 5 步 — 允许其他连接
此时,您应该允许您的服务器需要响应的所有其他连接。您应该允许的连接取决于您的具体需要。您已经知道如何编写允许基于应用程序配置文件、服务名称或端口的连接的规则;您已经在端口 22 上为 SSH 执行了此操作。您也可以这样做:
- 端口 80 上的 HTTP,这是未加密的 Web 服务器使用的端口,使用
sudo ufw allow http或sudo ufw allow 80 - 端口 443 上的 HTTPS,这是加密 Web 服务器使用的端口,使用
sudo ufw allow https或sudo ufw allow 443 - 同时支持 HTTP 和 HTTPS 的 Apache,使用
sudo ufw allow ‘Apache Full’ - 同时支持 HTTP 和 HTTPS 的 Nginx,使用
sudo ufw allow ‘Nginx Full’
不要忘记使用 sudo ufw app list 检查哪些应用程序配置文件可用于您的服务器。
除了指定端口或已知服务名称之外,还有其他几种允许连接的方法。接下来我们会看到其中的一些。
特定端口范围
您可以使用 UFW 指定端口范围。某些应用程序使用多个端口,而不是单个端口。
例如,要允许使用端口 6000-6007 的 X11 连接,请使用以下命令:
- sudo ufw allow 6000:6007/tcp
- sudo ufw allow 6000:6007/udp
使用 UFW 指定端口范围时,您必须指定规则应适用的协议(tcp 或 udp)。我们之前没有提到这一点,因为不指定协议会自动允许两种协议,这在大多数情况下是可以的。
特定 IP 地址
使用 UFW 时,您还可以在规则中指定 IP 地址。例如,如果要允许来自特定 IP 地址的连接,例如 203.0.113.4 的工作或家庭 IP 地址,则需要使用 from 参数,然后提供您要允许的 IP 地址:
- sudo ufw allow from 203.0.113.4
OutputRule added
您还可以通过将 添加到任何端口 后跟端口号来指定允许 IP 地址连接的端口。例如,如果要允许 203.0.113.4 连接到端口 22 (SSH),请使用此命令:
- sudo ufw allow from 203.0.113.4 to any port 22
OutputRule added
子网
如果要允许 IP 地址的子网,您可以使用 CIDR 表示法来指定网络掩码。例如,如果您想要允许从 203.0.113.1 到 203.0.113.254 范围内的所有 IP 地址,您可以使用此命令:
- sudo ufw allow from 203.0.113.0/24
OutputRule added
同样,您也可以指定子网 203.0.113.0/24 允许连接的目标端口。同样,我们将使用端口 22 (SSH) 作为示例:
- sudo ufw allow from 203.0.113.0/24 to any port 22
OutputRule added
连接到特定网络接口
如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定 \allow in on 后跟网络接口名称来实现。
在继续之前,您可能需要查找您的网络接口。为此,请使用以下命令:
- ip addr
Output Excerpt2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
. . .
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
. . .
突出显示的输出表示网络接口名称。它们的名称通常类似于 eth0 或 enp3s2。
因此,如果您的服务器有一个名为 eth0 的公共网络接口,您可以使用以下命令允许 HTTP 流量(端口 80)到达它:
- sudo ufw allow in on eth0 to any port 80
OutputRule added
Rule added (v6)
这样做将允许您的服务器接收来自公共互联网的 HTTP 请求。
或者,如果您希望您的 MySQL 数据库服务器(端口 3306)侦听私有网络接口 eth1 上的连接,例如,您可以使用此命令:
- sudo ufw allow in on eth1 to any port 3306
OutputRule added
Rule added (v6)
这将允许您专用网络上的其他服务器连接到您的 MySQL 数据库。
第 6 步 — 拒绝连接
如果您没有更改传入连接的默认策略,UFW 将配置为拒绝所有传入连接。通常,这会要求您创建明确允许特定端口和 IP 地址通过的规则,从而简化创建安全防火墙策略的过程。
但是,有时您会希望根据源 IP 地址或子网拒绝特定连接,这可能是因为您知道您的服务器正在从那里受到攻击。此外,如果您想将默认传入策略更改为允许(不推荐),则需要为您不想允许连接的任何服务或 IP 地址创建拒绝规则。
要编写拒绝规则,您可以使用前面描述的命令,将允许替换为拒绝。
例如,要拒绝 HTTP 连接,您可以使用此命令:
- sudo ufw deny http
OutputRule added
Rule added (v6)
或者,如果您想拒绝来自 203.0.113.4 的所有连接,您可以使用此命令:
- sudo ufw deny from 203.0.113.4
OutputRule added
在某些情况下,您可能还想阻止来自服务器的传出连接。要拒绝所有用户使用服务器上的端口,例如端口 25 用于 SMTP 流量,您可以使用 deny out 后跟端口号:
- sudo ufw deny out 25
OutputRule added
Rule added (v6)
这将阻止服务器上的所有传出 SMTP 流量。
第 7 步 — 删除规则
知道如何删除防火墙规则与知道如何创建它们一样重要。有两种不同的方法来指定要删除的规则:通过规则编号或通过其人类可读的名称(类似于规则在创建时的指定方式)。
按编号删除 UFW 规则
要按编号删除 UFW 规则,首先您需要获取所有防火墙规则的编号列表。 UFW status 命令有一个选项可以在每个规则旁边显示数字,如下所示:
- sudo ufw status numbered
Numbered Output:Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 15.15.15.0/24
[ 2] 80 ALLOW IN Anywhere
如果您决定要删除规则编号 2,即允许端口 80 (HTTP) 连接的规则,您可以在 UFW 删除命令中指定它,如下所示:
- sudo ufw delete 2
OutputDeleting:
allow 80
Proceed with operation (y|n)? y
Rule deleted
这将提示您进行确认,然后删除允许 HTTP 连接的规则 2。请注意,如果启用了 IPv6,则还需要删除相应的 IPv6 规则。
按名称删除 UFW 规则
除了使用规则编号,您还可以通过人类可读的名称来引用规则,该名称基于规则的类型(通常是 allow 或 deny)和服务作为此规则目标的名称或端口号,或应用程序配置文件名称(如果已使用)。例如,如果您想要删除以前启用的名为 Apache Full 的应用程序配置文件的 allow 规则,您可以使用:
- sudo ufw delete allow "Apache Full"
OutputRule deleted
Rule deleted (v6)
delete 命令的工作方式与创建的通过名称或端口引用服务的规则相同。例如,如果您之前使用 sudo ufw allow http 设置了允许 HTTP 连接的规则,则可以通过以下方式删除该规则:
- sudo ufw delete allow http
OutputRule deleted
Rule deleted (v6)
因为在指定规则时服务名称可以与端口号互换,所以您也可以引用与 allow 80 相同的规则,而不是 allow http:
- sudo ufw delete allow 80
OutputRule deleted
Rule deleted (v6)
按名称删除 UFW 规则时,如果存在 IPv4 和 IPv6 规则,则会将其删除。
第 8 步 — 检查 UFW 状态和规则
任何时候,您都可以使用以下命令检查 UFW 的状态:
- sudo ufw status verbose
如果 UFW 被禁用,这是默认情况下,你会看到这样的东西:
OutputStatus: inactive
如果 UFW 处于活动状态(如果您遵循第 3 步,它应该处于活动状态),则输出将表明它处于活动状态,并将列出所有已设置的规则。例如,如果防火墙设置为允许来自任何地方的 SSH(端口 22)连接,则输出可能如下所示:
OutputStatus: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22/tcp ALLOW IN Anywhere
如果您想检查 UFW 如何配置防火墙,请使用 status 命令。
第 9 步 — 禁用或重置 UFW(可选)
如果您决定不想使用 UFW,可以使用以下命令禁用它:
- sudo ufw disable
OutputFirewall stopped and disabled on system startup
您使用 UFW 创建的任何规则都将不再有效。如果您以后需要激活它,您可以随时运行 sudo ufw enable。
如果您已经配置了 UFW 规则但您决定要重新开始,您可以使用重置命令:
- sudo ufw reset
OutputResetting all rules to installed defaults. This may disrupt existing ssh
connections. Proceed with operation (y|n)? y
Backing up 'user.rules' to '/etc/ufw/user.rules.20210729_170353'
Backing up 'before.rules' to '/etc/ufw/before.rules.20210729_170353'
Backing up 'after.rules' to '/etc/ufw/after.rules.20210729_170353'
Backing up 'user6.rules' to '/etc/ufw/user6.rules.20210729_170353'
Backing up 'before6.rules' to '/etc/ufw/before6.rules.20210729_170353'
Backing up 'after6.rules' to '/etc/ufw/after6.rules.20210729_170353'
这将禁用 UFW 并删除之前定义的所有规则。这应该会让你重新开始使用 UFW。请记住,即使您在任何时候修改了默认策略,它们也不会更改为原始设置。
结论
您的防火墙现在配置为允许(至少)SSH 连接。请务必允许您的服务器需要的任何其他传入连接,同时限制任何不必要的连接,以便您的服务器正常运行且安全。
要了解更常见的 UFW 配置,请查看 UFW Essentials:通用防火墙规则和命令教程。