安装ufw
5 t# Z% `) B) g# u# m1 U在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:/ m1 R/ t5 G* S3 e& f) k8 H
5 X/ Y* I3 X ]: O
# 安装ufw
; M: `5 ?: S1 O* ^' A0 E- sudo apt-get update
4 q8 C. M" `% f# x( S: A - sudo apt-get install ufw
# 启动ufw& O7 O i! v' c- X+ s! V
r& f7 }0 a4 {0 c* l$ K/ n& J- ^
# 设置为开机自启' c+ W! A* e; w' l& s! k
- sudo systemctl enable ufw
. ?4 e$ R( E: H# N) ~执行sudo ufw status查看当前状态,通常有3种状态: J' G. y4 ]( R9 g- `! n
- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。
" J* _4 ^. ~3 O5 ` - Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。
$ W" B3 y Z+ K# b6 T- w - Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
- W$ F' P* A, t7 eufw放行端口 i; h5 [8 r% A, H( ]9 K$ y! v
ufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:
/ |7 [6 @7 I# V/ O5 d2 T# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。- E+ }; X# X ^" f: W* ^6 [
如果需要放行特定协议的端口,我们需要加上协议:. g) C* ^! p7 r
) j( C, C7 X/ _" g. {$ ^# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。
7 ]- `4 J( q4 P- sudo ufw allow <port>/<protocol>
放行一个端口范围:
7 w; Q% \8 r. [6 N- sudo ufw allow <start-port>:<end-port>/<protocol>
- sudo ufw allow 8000:9000/tcp
" Q- H. N& z3 [( ^& p o7 Qufw删除已经放行的规则或端口
- o |* v5 L; |# [& i$ o3 G/ d% {要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:. K% \8 S; }- s4 J X# V
; D3 W" r* L! ?: A. R
方法1:通过规则号删除* J0 O' u8 z" R; R
首先,运行以下命令以查看当前ufw的状态和现有规则:
9 O: J2 Y3 l0 j3 o$ ?8 {; A; f
1 s" Z* a7 r# v6 ]" u! U这将显示带有编号的规则列表。
0 [9 z' E, L* N8 W7 g4 G8 g7 L确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:
9 D. J5 w. I; ]- sudo ufw delete [rule_number]
. t" \2 v- R% s; a7 h6 U例如,要删除编号为1的规则,运行:0 n& I& c: |% @
' Z2 z9 ]' q# I4 Y- }方法2:通过放行条件删除
. e: \* V' q, X [您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:1 ^8 }/ H! C- }, u2 r
- sudo ufw delete allow 80/tcp
% i* ~/ L6 H9 ` H8 W# \3 f/ E或者,如果要删除允许UDP端口5000的规则,您可以运行:
9 ]9 [% A( e2 s5 D6 T- sudo ufw delete allow 5000/udp
: O; ?8 ~7 M1 k& M+ Z阻止某个特定的IP+ x) I% Z. O0 W& y" y+ S/ T
使用以下命令阻止来自特定IP(例如1.2.3.4)的连接:
) r% x7 `, \1 G- sudo ufw deny from 1.2.3.4
允许特定IP访问特定端口
9 L% p/ W* R, t1 l, ~使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:* S5 ]# K* p. X/ q' u- ]4 b8 d
- sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
5 @) m/ |/ k( ^( q6 F' V例如,要允许IP地址1.2.3.4访问TCP端口22,您可以运行:
. G8 `, z/ [ `3 ^* w: r- sudo ufw allow from 1.2.3.4 to any port 22/tcp
l4 {# r: n, u3 I u* B; |/ J |
发表于 2024-7-21 21:25:53