安装ufw
: _0 D, V4 s( _% @: e" p在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:
1 V8 N9 O5 T9 g) ~) M' `. ]" J- \& x" r7 V
# 安装ufw
1 u3 D8 n6 z( [1 f- E9 W- sudo apt-get update4 Z; d' V, j7 t8 u! c# X3 f
- sudo apt-get install ufw
复制代码
' m( F5 T! z$ @) q# 启动ufw6 S! r! I! T3 }: H7 Q
$ {" v( y. Z* M2 ]& j7 ?3 n" V
# 设置为开机自启
( T6 E9 i! _9 D% f ` ?8 V- sudo systemctl enable ufw
复制代码
4 Y8 {3 u5 M- T$ \执行sudo ufw status查看当前状态,通常有3种状态:
- q. C( M) J C4 j- I1 X+ I- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。; J3 y( [; l/ |! U4 @, `
- Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。
# x0 H( i- g2 A3 K# { E5 R8 P - Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
复制代码 : z% C' w; F$ U7 _; G0 K/ Y, P
ufw放行端口9 e$ r0 u4 O- k* h
ufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:9 S2 s' |. S8 F8 C1 Q
# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。
, k- m2 s% g% @; X6 e# B如果需要放行特定协议的端口,我们需要加上协议:
0 R. X0 I9 H% B) _* D; {
$ w' k U+ w3 [8 o# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。6 Y% p5 i5 b# ^
- sudo ufw allow <port>/<protocol>
复制代码
+ {# E6 q$ u+ H! j: {- |放行一个端口范围:
3 K5 E( J# L* Z4 p& @- sudo ufw allow <start-port>:<end-port>/<protocol>
复制代码 将 <start-port> 替换为起始端口号,<end-port> 替换为结束端口号,<protocol>为协议。例如,要放行 TCP 端口范围 8000 到 9000,可以执行- sudo ufw allow 8000:9000/tcp
复制代码 & s4 Z0 \! K' E: a `
ufw删除已经放行的规则或端口
# T% v! |8 U/ {% o要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:/ G( R$ o) R3 H' f+ a: C* F: M5 g
) G! Y; b+ R* Z8 D0 o, A0 {! J方法1:通过规则号删除
- d+ X/ L3 t; j4 f首先,运行以下命令以查看当前ufw的状态和现有规则:) M: D6 ^/ V0 f2 |- b& l# u
0 H. I& l& X! W- L这将显示带有编号的规则列表。
8 |, W8 ^( f8 n0 ]1 s$ v确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:' F$ V5 c- R( e$ r, n; a6 m5 F6 h
- sudo ufw delete [rule_number]
复制代码 3 t( P& z9 y1 V% a
例如,要删除编号为1的规则,运行:
4 D9 y: {' }% t5 s' {* A8 ~" Q9 `" @ n; i* E
方法2:通过放行条件删除
" m- ? d, W, ~1 b; ^; D6 J2 { t您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:- ] |& b! c2 V. z8 m5 D; S# C, d
- sudo ufw delete allow 80/tcp
复制代码
( H) c5 P ?9 N% y或者,如果要删除允许UDP端口5000的规则,您可以运行:
8 u# k/ Y! q$ y: E- sudo ufw delete allow 5000/udp
复制代码 删除规则后,再次运行sudo ufw status以确认所选规则已从ufw中删除。
* d$ ]$ d- \; g& Z( _! ~5 n4 i' ?) X" |) @
阻止某个特定的IP
/ q: b9 H8 [' N7 w4 y8 e使用以下命令阻止来自特定IP(例如1.2.3.4)的连接:
$ {! R4 U. `) `( A& M, F9 M M7 F7 D- sudo ufw deny from 1.2.3.4
复制代码
2 X$ t% Z, F5 k* t9 ~: ~允许特定IP访问特定端口, v4 K& I6 o% p( Z* T o& u% [
使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:" b2 w% n2 @% X$ u( D7 U o
- sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
复制代码
3 }1 d) x: |1 e3 _+ _5 A* V例如,要允许IP地址1.2.3.4访问TCP端口22,您可以运行:
5 }8 ^8 s9 {; W* y3 z' K- sudo ufw allow from 1.2.3.4 to any port 22/tcp
复制代码
( f# [+ ?$ k0 ^! t+ D9 M |