自打2.4版本以後的Linux內核中, 提供了一個非常優秀的防火牆工具。這個工具可以對出入服務的網絡數據進行分割、過濾、轉發等等細微的控制,進而實現諸如防火牆、NAT等功能。
一般來說, 我們會使用名氣比較的大iptables等程序對這個防火牆的規則進行管理。iptables可以靈活的定義防火牆規則, 功能非常強大。但是由此產生的副作用便是配置過於複雜。一向以簡單易用著稱Ubuntu在它的發行版中,附帶了一個相對iptables簡單很多的防火牆配置工具:ufw。
ufw默認是沒有啓用的。也就是說, ubuntu中的端口默認都是開放的。使用如下命令啓動ufw:
$sudo ufw default deny
$sudo ufw enable
通過第一命令,我們設置默認的規則爲allow, 這樣除非指明打開的端口, 否則所有端口默認都是關閉的。第二個命令則啓動了ufw。如果下次重新啓動機器, ufw也會自動啓動。
對於大部分防火牆操作來說, 其實無非就是的打開關閉端口。如果要打開SSH服務器的22端口, 我們可以這樣:
$sudo ufw allow 22
由於在/etc/services中, 22端口對應的服務名是ssh。所以下面的命令是一樣的:
$sudo ufw allow ssh
現在可以通過下面命令來查看防火牆的狀態了:
$sudo ufw status
Firewall loaded
To Action From
-- ------ ----
22:tcp ALLOW Anywhere
22:udp ALLOW Anywhere
我們可以看到, 22端口的tcp和udp協議都打開了。
刪除已經添加過的規則:
$sudo ufw delete allow 22
只打開使用tcp/ip協議的22端口:
$sudo ufw allow 22/tcp
打開來自192.168.0.1的tcp請求的80端口:
$sudo ufw allow proto tcp from 192.168.0.1 to any port 22
要關係防火牆:
$sudu ufw disable
UFW防火牆是一個主機端的iptables類防火牆配置工具。這個工具的目的是提供給用戶一個可以輕鬆駕馭的界面,就像包集成和動態檢測開放的端口一樣。
在Ubuntu中安裝UFW:
目前這個包存在於Ubuntu 8.04的庫中。
sudo apt-get install ufw
上面這行命令將把軟件安裝到您系統中。
開啓/關閉防火牆 (默認設置是’disable’)
# ufw enable|disable
轉換日誌狀態
# ufw logging on|off
設置默認策略 (比如 “mostly open” vs “mostly closed”)
# ufw default allow|deny
許 可或者屏蔽某些入埠的包 (可以在“status” 中查看到服務列表[見後文])。可以用“協議:端口”的方式指定一個存在於/etc/services中的服務名稱,也可以通過包的meta-data。 ‘allow’ 參數將把條目加入/etc/ufw/maps ,而 ‘deny’ 則相反。基本語法如下:
# ufw allow|deny [service]
顯示防火牆和端口的偵聽狀態,參見 /var/lib/ufw/maps。括號中的數字將不會被顯示出來。
# ufw status
[注意:上文中雖然沒有使用 sudo,但是命令提示符號都是“#”。所以……你知道啥意思了哈。原文如此。──譯者注]
UFW 使用範例:
允許 53 端口
$ sudo ufw allow 53
禁用 53 端口
$ sudo ufw delete allow 53
允許 80 端口
$ sudo ufw allow 80/tcp
禁用 80 端口
$ sudo ufw delete allow 80/tcp
允許 smtp 端口
$ sudo ufw allow smtp
刪除 smtp 端口的許可
$ sudo ufw delete allow smtp
允許某特定 IP
$ sudo ufw allow from 192.168.254.254
刪除上面的規則
$ sudo ufw delete allow from 192.168.254.254
轉載:http://blog.sina.com.cn/s/blog_8f3de3250100xy1u.html