安装ufw8 ], V4 r' O U
在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:
9 d. l8 T# E7 W" T4 c* A
0 u# N0 e6 ^9 h/ _$ n( j- q( ~& ~# 安装ufw
+ D1 R. k7 l$ x* L9 c( q- sudo apt-get update6 g- U W! o9 f$ M0 ^& d9 c
- sudo apt-get install ufw
7 e5 |* F# h$ I o* q. t# 启动ufw! ?% {- s" t& j
" ` }! E7 j2 M6 ^0 W3 M, @. S
# 设置为开机自启& i3 j. g/ D7 }9 X* `- k% x+ h
- sudo systemctl enable ufw
执行sudo ufw status查看当前状态,通常有3种状态:
/ x* d% g3 D) E9 a+ G, e/ z' G- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。
: ^0 K" r% [8 a: p0 t) c - Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。' }7 H3 o" b2 W+ R0 J
- Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
6 n8 W% j# e% ]* P) Pufw放行端口% \: e V6 o% g! \
ufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:7 f2 {5 g" |5 Z) I7 p7 ?5 L5 ?6 G: w( \
# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。
7 N- |0 h. M+ O& Q3 d" }如果需要放行特定协议的端口,我们需要加上协议:
; j$ G0 R! ]% Y8 s5 h9 w5 Y+ Y2 Z( O3 V* o6 \! j% N' `1 u
# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。
5 L5 |- Y$ \# x4 V ]- sudo ufw allow <port>/<protocol>
. z( k* i( M: U! F放行一个端口范围:- H1 G4 i5 P" \( H
- sudo ufw allow <start-port>:<end-port>/<protocol>
- sudo ufw allow 8000:9000/tcp
ufw删除已经放行的规则或端口
6 X. @5 q! W1 `& N; A要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:1 j, ?0 [+ E& \3 J! ^; y, h0 v
2 z+ f. x' P% @* A
方法1:通过规则号删除
; ^$ y6 O0 t- L0 Y7 [2 ]) [* I首先,运行以下命令以查看当前ufw的状态和现有规则:4 e) a Q; a7 n
" B- a# ]! S( G( ?" F7 G% O这将显示带有编号的规则列表。
4 L* ?: ? \* V3 |$ I确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:
+ F8 I% w. ], }* p! J6 I+ m- sudo ufw delete [rule_number]
例如,要删除编号为1的规则,运行:
* d3 s8 _6 I8 ~
2 r6 j4 k; I9 r$ q方法2:通过放行条件删除: }* ~/ \6 R" J- g; m' F% a
您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:8 [: j# K" {: q
- sudo ufw delete allow 80/tcp
3 ^, n0 j; ^8 I' }+ F1 U" ]或者,如果要删除允许UDP端口5000的规则,您可以运行:
! k: L% P9 Q: P- sudo ufw delete allow 5000/udp
}0 I2 z9 y4 i
" T2 l' ]4 h3 n! m1 b2 \. ~阻止某个特定的IP1 S1 x! J5 v+ K+ `0 a3 T
使用以下命令阻止来自特定IP(例如1.2.3.4)的连接:- I% j( Z) R, p8 ^
- sudo ufw deny from 1.2.3.4
允许特定IP访问特定端口
7 Z& Y/ ]" C7 q使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:
- e# U3 P. I+ R' {# @- G- sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
例如,要允许IP地址1.2.3.4访问TCP端口22,您可以运行:* Q6 o- T% F! P
- sudo ufw allow from 1.2.3.4 to any port 22/tcp
|
发表于 2024-7-21 21:25:53