安装ufw W0 s- y- [3 t& B! _5 [
在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:4 y0 U3 ?) E: g* r% ]! v1 C
' e$ a: o2 [. M7 M# 安装ufw
7 a! G. y/ [% S. Y4 I$ @- sudo apt-get update
( v" O* e* ~! D - sudo apt-get install ufw
复制代码
: I6 G9 j+ Z! C- [. N) \# 启动ufw
8 A# J/ I6 j& j$ [1 b1 m/ K( K ]$ v1 R2 ]; P6 U5 g3 S: |
# 设置为开机自启
8 A6 S% x7 L! j `6 B- sudo systemctl enable ufw
复制代码
& x/ ]* d5 F! ?% g9 R- c. m执行sudo ufw status查看当前状态,通常有3种状态:8 h& x# r8 P3 ~4 l$ ]; N
- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。" p7 i# l2 l* I' q* V
- Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。
) m1 p$ I0 s/ ^ - Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
复制代码
% n/ x+ Z5 P6 c5 Kufw放行端口7 Q) G% X0 m6 K" Z
ufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:0 B8 [# x$ T) v& g8 a# x
# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。7 a8 I) Q4 v1 P1 {. t$ Q( _, \
如果需要放行特定协议的端口,我们需要加上协议:# V" B9 c5 t) u
; ~3 o( t) |! c" h# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。1 b" W l( s4 _ a# \& j
- sudo ufw allow <port>/<protocol>
复制代码 0 n; A3 I* e, W4 D i0 K9 x6 Q
放行一个端口范围:
& k F/ n6 Q$ t, l- W5 L- sudo ufw allow <start-port>:<end-port>/<protocol>
复制代码 将 <start-port> 替换为起始端口号,<end-port> 替换为结束端口号,<protocol>为协议。例如,要放行 TCP 端口范围 8000 到 9000,可以执行- sudo ufw allow 8000:9000/tcp
复制代码 7 g2 k) a# j- {$ F
ufw删除已经放行的规则或端口
& M3 ]" V# ~4 t* ~) T要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:
' R ^2 m. {9 y2 P+ f' Y$ L3 P, V' K( ]1 |
方法1:通过规则号删除6 y: p! f+ a# L6 j) j# y
首先,运行以下命令以查看当前ufw的状态和现有规则:
- ]7 ^6 O% G" }; K
$ `# e/ u# E: n; s+ l0 }这将显示带有编号的规则列表。/ U# T2 o5 m1 l. _
确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:
# T" w6 T" [, q- sudo ufw delete [rule_number]
复制代码 & `6 q9 @9 y; I2 E
例如,要删除编号为1的规则,运行:
7 l: u. Z' d2 u8 |0 U3 [7 s2 R8 x- U. k8 t* R* f; U
方法2:通过放行条件删除1 O$ c5 ?% Q7 I" i/ |6 V
您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:
7 @! [; C! r( C0 ~$ B- sudo ufw delete allow 80/tcp
复制代码
5 l* L O# r9 w8 ]: O5 T! i" r或者,如果要删除允许UDP端口5000的规则,您可以运行:
" f/ t+ ]' i! p4 l/ u# f: U- sudo ufw delete allow 5000/udp
复制代码 删除规则后,再次运行sudo ufw status以确认所选规则已从ufw中删除。
7 K' D: ?0 W" f3 a; d# |9 o" Y; u% m2 k( S4 c! ]0 A& l
阻止某个特定的IP- ~0 y! @, G3 l7 g b% ^& @& D! B
使用以下命令阻止来自特定IP(例如1.2.3.4)的连接:5 V9 Z7 `" a$ c4 ^6 N4 n: z
- sudo ufw deny from 1.2.3.4
复制代码 8 v( j: \9 n6 g2 t i" L
允许特定IP访问特定端口( Z5 H2 F4 ]3 z+ h
使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:8 S% O5 X1 U6 R& G
- sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
复制代码
( [: E' H5 s1 \4 F( R, l8 A+ ]3 x! n例如,要允许IP地址1.2.3.4访问TCP端口22,您可以运行:7 n7 m# V& F- ]* _
- sudo ufw allow from 1.2.3.4 to any port 22/tcp
复制代码 * ~& E5 p& I; d+ z' x" n
|