Ubuntu 下使用 UFW 管理防火牆服務

防火牆是計算機中一款應用軟件或基於硬件的網絡安全系統。它根據應用配置的規則，分析數據包，然後決定是否允許此數據包通過，來控制整個系統的網絡數據進出訪問權限。iptables 是一款廣泛使用於服務器的防火牆。它是一款應用程序，它會根據一系列規則來管理服務器上的進出數據流。一般來說，只有可信任的連接才允許進入服務器。但 iptables 是在控制檯模式下運行，它非常的複雜。不熟悉 iptables 配置規則和命令的用戶可以讀讀下面的文章，它描述瞭如何使用iptables防火牆。爲了降低 iptables 設置的複雜度，有許多對應的前端應用。如果你運行的是 Ubuntu linux 系統的話， UFW 就是一款默認的防火牆工具。

Ubuntu 下使用 UFW 管理防火牆服務

什麼是 UFW

UFW (簡單的防火牆) 是廣泛使用的 iptables 防火牆 的前端應用，這是非常適合於基於主機的防火牆。UFW 即提供了一套管理網絡過濾器的框架，又提供了控制防火牆的命令行界面接口。它給那些不熟悉防火牆概念的 Linux 新用戶提供了友好、易使用的用戶界面。
同時，另一方面，它也提供了命令行界面，爲系統管理員準備了一套複雜的命令，用來設置複雜的防火牆規則。UFW 對像 Debian、Ubuntu 和 Linux Mint 這些發佈版本來說也是上上之選。

UFW 基本用法

首先，用如下命令來檢查下系統上是否已經安裝了 UFW 。

$ sudo dpkg --get-selections | grep ufw

如還沒有安裝，可以使用 apt 命令來安裝，如下所示：

$ sudo apt-get install ufw

在使用前，你應該檢查下 UFW 是否已經在運行。用下面的命令來檢查。

$ sudo ufw status

如果你發現狀態是： inactive , 意思是沒有被激活或不起作用。
啓用/禁用 UFW
要啓用它，你只需在終端下鍵入如下命令：

$ sudo ufw enable

在系統啓動時啓用和激活防火牆
要禁用，只需輸入：

$ sudo ufw disable

列出當前UFW規則
在防火牆被激活後，你可以向裏面添加你自己的規則。如果你想看看默認的規則，可以輸入。

$ sudo ufw status verbose

輸出樣例：

• Status: active
• Logging: on (low)
• Default: deny (incoming), allow (outgoing)
• New profiles: skip

添加UFW規則

如你所見，默認是不允許所有外部訪問連接的。如果你想遠程連接你的機器，就得開放相應的端口。

允許訪問

例如，你想用 ssh 來連接，下面是添加的命令。

$ sudo ufw allow ssh

再一次檢查狀態，會看到如下的一些輸出。

$ sudo ufw status

• To Action From
  – ———– ——
• 22 ALLOW Anywhere

• 22 ALLOW Anywhere (v6)

  如果你有很多條規則，想快速的在每條規則上加個序號數字的話，請使用 numbered 參數。

$ sudo ufw status numbered

• To Action From
  —— ———– ——
• [1] 22 ALLOW Anywhere

• [2] 22 ALLOW Anywhere (v6)

  第一條規則的意思是所有通過22端口訪問機器的 tcp 或 udp 數據包都是允許的。如果你希望僅允許 tcp 數據包訪問應該怎麼辦？可以在服務端口後加個 tcp 參數。下面的示例及相應的輸出。

$ sudo ufw allow ssh/tcp

• To Action From
  —— ———– ——
• 22/tcp ALLOW Anywhere
• 22/tcp ALLOW Anywhere (v6)

拒絕訪問

添加拒絕規則也是同樣的招數。我們假設你想拒絕 ftp 訪問, 你只需輸入

$ sudo ufw deny ftp

• To Action From
  —— ———– ——
• 21/tcp DENY Anywhere

• 21/tcp DENY Anywhere (v6)

  添加特定端口

  有時候，我們會自定義一個端口而不是使用標準提供的。讓我們試着把機器上 ssh 的 22 端口換成 2290 端口，然後允許從 2290 端口訪問，我們像這樣添加：

$ sudo ufw allow 2290/ssh (譯者注：些處演示例子有問題)

• To Action From
  – ———– ——
• 2290 ALLOW Anywhere

• 2290 ALLOW Anywhere (v6)

  你也可以把端口範圍添加進規則。如果我們想打開從 2290到2300 的端口以供 tcp 協議使用，命令如下示：

$ sudo ufw allow 2290:2300/tcp

• To Action From
  —— ———– ——
• 2290:2300/tcp ALLOW Anywhere

• 2290:2300/tcp ALLOW Anywhere (v6)

  同樣你想使用 udp 的話，如下操作。

$ sudo ufw allow 2290:2300/udp

• To Action From
  —— ———– ——
• 2290:2300/udp ALLOW Anywhere

• 2290:2300/udp ALLOW Anywhere (v6)

  請注意你得明確的指定是 ‘tcp’ 或 ‘udp’，否則會出現跟下面類似的錯誤信息。
  ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports
  添加特定 IP

  前面我們添加的規則都是基於 服務程序 或 端口 的，UFW 也可以添加基於 IP 地址的規則。下面是命令樣例。

$ sudo ufw allow from 192.168.0.104

你也可以使用子網掩碼來擴寬範圍。

$ sudo ufw allow form 192.168.0.0/24

• To Action From
  – ———– ——
• Anywhere ALLOW 192.168.0.104

• Anywhere ALLOW 192.168.0.0/24

  如你所見， from 參數僅僅限制連接的來源，而目的（用 To 列表示）是所有地方。讓我們看看允許訪問 22端口(ssh)的例子。

$ sudo ufw allow to any port 22

上面的命令會允許從任何地方以及任何協議都可以訪問22端口。
組合參數

對於更具體的規則，你也可以把 IP 地址、協議和端口這些組合在一起用。我們想創建一條規則，限制僅僅來自於 192.168.0.104 的 IP ，而且只能使用 tcp 協議和通過 22端口 來訪問本地資源。我們可以用如下所示的命令。

$ sudo ufw allow from 192.168.0.104 proto tcp to any port 22

創建拒絕規則的命令和允許的規則類似，僅需要把 allow 參數換成 deny 參數就可以。

刪除規則

某些時候需要刪除現有的規則。再一次使用 UFW 刪除規則是很簡單的。在上面的示例中，已經創建瞭如下的規則，現在你想刪除它們。

• To Action From
  – ———– ——
• 22/tcp ALLOW 192.168.0.104
• 21/tcp ALLOW Anywhere
• 21/tcp ALLOW Anywhere (v6)

刪除規則有兩個方法。

方法1

下面的命令將會 刪除 與 ftp 相關的規則。所以像 21/tcp 這條 ftp 默認訪問端口的規則將會被刪除掉。

$ sudo ufw delete allow ftp

方法2

但當你使用如下命令來刪除上面例子中的規則時，

$ sudo ufw delete allow ssh

或者

$ sudo ufw delete allow 22/tcp

會出現如下所示的一些錯誤

• Could not delete non-existent rule

• Could not delete non-existent rule (v6)

  我們還有一招。上面已經提到過，可以序列數字來代替你想刪除的規則。讓我們試試。

$ sudo ufw status numbered

• To Action From
  – ———– ——
• [1] 22/tcp ALLOW 192.168.0.104
• [2] 21/tcp ALLOW Anywhere

• [3] 21/tcp ALLOW Anywhere (v6)

  然後我們刪除正在使用的第一條規則。按 “ y ” 就會永久的刪除這條規則。

$ sudo ufw delete 1

Deleting :
Allow from 192.168.0.104 to any port 22 proto tcp
Proceed with operation (y|n)? y

從這些用法中你就可以發現它們的不同。 方法2 在刪除前需要 用戶確認 ，而 方法1 不需要。

重置所有規則

某些情況下，你也許需要 刪除/重置 所有的規則。可以輸入。

$ sudo ufw reset

Resetting all rules to installed defaults. Proceed with operation (y|n)? y

如果你輸入“ y ”， UFW 在重置你的 ufw 前會備份所有已經存在規則，然後重置。重置操作也會使你的防火牆處於不可用狀態，如果你想使用得再一次啓用它。

高級功能

正如我上面所說，UFW防火牆能夠做到iptables可以做到的一切。這是通過一些規則文件來完成的，他們只不過是 iptables-restore 所對應的文本文件而已。是否可以通過 ufw 命令微調 UFW 的與/或邏輯來增加 iptables 命令其實就是編輯幾個文本文件的事。

/etc/default/ufw: 默認策略的主配置文件，支持 IPv6 和 內核模塊。
/etc/ufw/before[6].rules: 通過 ufw 命令添加進規則之前裏面存在的規則會首先計算。
/etc/ufw/after[6].rules: 通過 ufw 命令添加進規則之後裏面存在的規則會進行計算。
/etc/ufw/sysctl.conf: 內核網絡可調參數。
/etc/ufw/ufw.conf: 設置系統啓動時 UFW 是否可用，和設置日誌級別。

結論

UFW 作爲 iptables 的前端應用，給用戶提供了簡單的接口界面。使用着不需要去記非常複雜的 iptables 語法。UFW 也使用了‘ 簡單英語 ’作爲它的參數。

像 Allow、deny、reset 就是他們當中的一部分。我相信有很多很多 iptables 前端應用，但 UFW 絕對是那些想要快速、簡單的就建立自己的防火牆，而且還很安全的用戶的最佳替代品之一。請輸入 man ufw 查看 ufw 用戶手冊，來了解更多詳情。