如何在 Debian 11 上使用 UFW 设置防火墙
介绍
UFW,即 Uncomplicated Firewall,是一种简化的防火墙管理界面,它隐藏了较低级别的包过滤技术的复杂性,例如 iptables 和 nftables。如果您希望开始保护您的网络,并且不确定使用哪种工具,UFW 可能是您的正确选择。
本教程将向您展示如何在 Debian 11 上使用 UFW 设置防火墙。
先决条件
要学习本教程,您需要一台具有 sudo 非根用户的 Debian 11 服务器,您可以按照 Debian 11 初始服务器设置教程中的步骤 1 到 3 进行设置。
步骤 1 – 安装 UFW
默认情况下,Debian 不安装 UFW。如果您遵循了整个初始服务器设置教程,您将安装并启用 UFW。如果没有,现在使用 apt 安装它:
- sudo apt install ufw
您将设置 UFW 并在以下步骤中启用它。
第 2 步 — 在 UFW 中使用 IPv6(可选)
本教程是为 IPv4 编写的,但如果您启用它,也适用于 IPv6。如果您的 Debian 服务器启用了 IPv6,您需要确保 UFW 配置为支持 IPv6。这将确保除了 IPv4 之外,UFW 还将管理 IPv6 的防火墙规则。要配置它,请使用 nano 或您喜欢的编辑器打开 UFW 配置文件 /etc/default/ufw:
- sudo nano /etc/default/ufw
在文件中找到 IPV6 并确保值为 yes:
IPV6=yes
保存并关闭文件。如果您使用的是 nano,请按 CTRL+X,然后按 Y,然后按 ENTER 保存并退出文件。
现在,当启用 UFW 时,它将被配置为写入 IPv4 和 IPv6 防火墙规则。然而,在启用 UFW 之前,您需要确保您的防火墙配置为允许您通过 SSH 连接。从设置默认策略开始。
第 3 步 — 设置默认策略
如果您刚刚开始使用防火墙,首先要定义的规则是您的默认策略。这些规则处理不明确匹配任何其他规则的流量。默认情况下,UFW 设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图访问您的服务器的人都无法连接,而服务器内的任何应用程序都可以访问外部世界。
将您的 UFW 规则设置回默认值,这样您就可以确保能够按照本教程进行操作。要设置 UFW 使用的默认值,请使用以下命令:
- sudo ufw default deny incoming
- sudo ufw default allow outgoing
您将收到如下输出:
OutputDefault incoming policy changed to 'deny'
(be sure to update your rules accordingly)
Default outgoing policy changed to 'allow'
(be sure to update your rules accordingly)
这些命令将默认值设置为拒绝传入连接并允许传出连接。仅这些防火墙默认值就足以满足个人计算机的需求,但服务器通常需要响应来自外部用户的传入请求。您将在下一步中开始此过程。
第 4 步 — 允许 SSH 连接
您还不能启用您的 UFW 防火墙,因为它会拒绝所有传入连接,包括您尝试访问您的服务器。这意味着如果您希望服务器响应这些类型的请求,您将需要创建明确允许合法传入连接(例如 SSH 或 HTTP 连接)的规则。如果您使用的是云服务器,您可能希望允许传入的 SSH 连接,以便您可以连接到并管理您的服务器。
要将服务器配置为允许传入的 SSH 连接,请使用以下命令:
- sudo ufw allow ssh
这将创建防火墙规则,允许端口 22 上的所有连接,这是 SSH 守护程序默认侦听的端口。 UFW 知道哪个端口与 allow ssh 绑定,因为它在 /etc/services 文件中列为服务。
但是,您实际上可以通过指定端口而不是服务名称来编写等效规则。例如,此命令产生与上述命令相同的结果:
- sudo ufw allow 22
如果您将 SSH 守护程序配置为使用不同的端口,则必须指定适当的端口。例如,如果您的 SSH 服务器正在侦听端口 2222,您可以使用相同的命令,但将 22 替换为 2222。
现在您的防火墙已配置为允许传入的 SSH 连接,您可以启用它。
第 5 步 — 启用 UFW
要启用 UFW,请使用以下命令:
- sudo ufw enable
您将收到一条警告,指出该命令可能会中断现有的 SSH 连接。您已经设置了允许 SSH 连接的防火墙规则,因此继续操作应该没问题。使用 y 响应提示并点击 ENTER。
防火墙现在处于活动状态。要查看您设置的规则,请运行以下命令:
- sudo ufw status verbose
本教程的其余部分将更详细地介绍如何使用 UFW,包括允许和拒绝不同类型的连接。
第 6 步 — 允许其他连接
此时,您应该允许服务器正常运行所需的所有其他连接。您应该允许的连接取决于您的具体需要。您已经知道如何编写允许基于服务名称或端口的连接的规则;您在端口 22 上为 SSH 执行了此操作。
您可以在端口 80 上为 HTTP 执行此操作,这是未加密的 Web 服务器使用的端口。要允许这种类型的流量,您将键入:
- sudo ufw allow http
您也可以在端口 443 上为 HTTPS 执行此操作,这是加密的 Web 服务器使用的端口。要允许这种类型的流量,您将键入:
- sudo ufw allow https
在这两种情况下,指定端口也可以,HTTP 为 80,HTTPS 为 443。例如:
- sudo ufw allow 80
但是,除了指定端口或已知服务之外,还有其他允许连接的方法。这将在接下来讨论。
特定端口范围
您可以使用 UFW 指定端口范围。例如,某些应用程序使用多个端口而不是单个端口。
例如,要允许使用端口 6000-6007 的 X11 连接,请使用以下命令:
- sudo ufw allow 6000:6007/tcp
- sudo ufw allow 6000:6007/udp
使用 UFW 指定端口范围时,必须指定规则应适用的协议(tcp 或 udp)。之前没有提到这一点,因为不指定协议会自动允许两种协议,这在大多数情况下是可以的。
特定 IP 地址
使用 UFW 时,您还可以指定 IP 地址。例如,如果要允许来自特定 IP 地址的连接,例如 203.0.113.4 的工作或家庭 IP 地址,则需要指定 from,然后IP地址:
- sudo ufw allow from 203.0.113.4
您还可以通过将 添加到任何端口 后跟端口号来指定允许 IP 地址连接到的特定端口。例如,如果要允许 203.0.113.4 连接到端口 22 (SSH),请使用此命令:
- sudo ufw allow from 203.0.113.4 to any port 22
子网
如果要允许 IP 地址的子网,可以使用 CIDR 表示法指定网络掩码。例如,如果您想要允许从 203.0.113.1 到 203.0.113.254 范围内的所有 IP 地址,您可以使用此命令:
- sudo ufw allow from 203.0.113.0/24
同样,您也可以指定子网 203.0.113.0/24 允许连接的目标端口。同样,以端口 22 (SSH) 为例:
- sudo ufw allow from 203.0.113.0/24 to any port 22
连接到特定网络接口
如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定 allow in on 来实现,后跟网络接口的名称。
在继续之前查找您的网络接口会很有帮助。为此,请使用以下命令:
- ip addr
Output. . .
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
. . .
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
. . .
突出显示的输出表示网络接口名称。它们的名称通常类似于 eth0 或 enp3s2。
例如,如果您的服务器有一个名为 eth0 的公共网络接口,您可以使用以下命令允许 HTTP 流量通过它:
- sudo ufw allow in on eth0 to any port 80
这样做将允许您的服务器接收来自公共互联网的 HTTP 请求。
或者,如果您希望 MySQL 数据库服务器(端口 3306)侦听私有网络接口 eth1 上的连接,您可以使用此命令:
- sudo ufw allow in on eth1 to any port 3306
这将允许您专用网络上的其他服务器连接到您的 MySQL 数据库。
第 7 步 — 拒绝连接
如果您没有更改传入连接的默认策略,UFW 将配置为拒绝所有传入连接。通常,这会要求您创建明确允许特定端口和 IP 地址通过的规则,从而简化创建安全防火墙策略的过程。
然而,有时您会希望根据源 IP 地址或子网拒绝特定连接,这可能是因为您知道您的服务器正在从那里受到攻击。此外,如果您想将默认传入策略更改为 allow(不推荐这样做),您需要为您拒绝的任何服务或 IP 地址创建 deny 规则' 想要允许连接。
要编写 deny 规则,您可以使用上述命令,将 allow 替换为 deny。
例如,要拒绝 HTTP 连接,您可以使用此命令:
- sudo ufw deny http
或者,如果您想拒绝来自 203.0.113.4 的所有连接,您可以使用此命令:
- sudo ufw deny from 203.0.113.4
现在,您可以了解如何实施删除规则。
第 8 步 — 删除规则
知道如何删除防火墙规则与知道如何创建它们一样重要。有两种方法可以指定要删除的规则:通过规则编号或通过规则本身。这类似于规则在创建时的指定方式。
按规则编号
如果您使用规则编号删除防火墙规则,您要做的第一件事就是获取防火墙规则列表。 UFW status 命令有 numbered 选项,它在每个规则旁边显示数字:
- sudo ufw status numbered
OutputStatus: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 15.15.15.0/24
[ 2] 80 ALLOW IN Anywhere
如果您决定要删除规则 2,它允许端口 80 上的 HTTP 连接,您可以在以下 UFW delete 命令中指定它:
- sudo ufw delete 2
这将显示确认提示,您可以用 y/n 回答。键入 y 将删除规则 2。请注意,如果启用了 IPv6,则还需要删除相应的 IPv6 规则。
按实际规定
规则编号的替代方法是指定要删除的实际规则。例如,如果你想删除 allow http 规则,你可以这样写:
- sudo ufw delete allow http
您还可以使用 allow 80 而不是服务名称来指定规则:
- sudo ufw delete allow 80
此方法将同时删除 IPv4 和 IPv6 规则(如果存在)。
第 9 步 — 检查 UFW 状态和规则
任何时候,您都可以使用以下命令检查 UFW 的状态:
- sudo ufw status verbose
如果 UFW 被禁用,这是默认设置,输出将是这样的:
OutputStatus: inactive
如果 UFW 处于活动状态(如果您遵循第 3 步,它应该处于活动状态),输出将表明它处于活动状态,并将列出您设置的所有规则。例如,如果防火墙设置为允许来自任何地方的 SSH(端口 22)连接,则输出可能包括如下内容:
OutputStatus: active
To Action From
-- ------ ----
22/tcp ALLOW IN Anywhere
如果您想检查 UFW 如何配置防火墙,请使用 status 命令。
第 10 步 — 禁用或重置 UFW(可选)
如果您决定不想使用 UFW,可以使用以下命令禁用它:
- sudo ufw disable
您使用 UFW 创建的任何规则都将不再有效。如果您以后需要激活它,您可以随时运行 sudo ufw enable。
如果您已经配置了 UFW 规则,但您决定要重新开始,您可以使用重置命令:
- sudo ufw reset
这将禁用 UFW 并删除您之前定义的任何规则。请记住,如果您在任何时候修改默认策略,它们都不会更改为原始设置。这应该会让你重新开始使用 UFW。
结论
您的防火墙现在配置为允许(至少)SSH 连接。请确保允许服务器需要的任何其他传入连接,同时限制不必要的连接。这将确保您的服务器既正常又安全。
要了解更多常见的 UFW 配置,请查看有关 UFW Essentials 的教程:常见的防火墙规则和命令。