安装ufw
4 B0 D" p+ J0 Q% r在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:
4 ?% J' o3 |' S$ ^ O8 L4 \4 {6 Q1 }7 p8 p' R% U1 E& Y7 D/ p' B
# 安装ufw6 U9 d( c" @( j$ ^4 U
- sudo apt-get update
" W/ H, A, v& @ - sudo apt-get install ufw
# 启动ufw
1 C* i% X' g" f( D/ H9 P) l4 _1 r! h" \/ ^1 w6 ?
# 设置为开机自启
. n+ J% ~, X' ` F/ q# `/ D- sudo systemctl enable ufw
执行sudo ufw status查看当前状态,通常有3种状态:- {% `' ?. {" g( G+ d+ Q
- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。 f3 h; R' C/ h, ^' T
- Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。
8 S$ C# ~6 q+ e% d* p E - Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
ufw放行端口
* V! K8 h1 g+ }9 R2 Tufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:
; R$ b" M7 q1 Y& I# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。$ F0 E9 y) ~2 L
如果需要放行特定协议的端口,我们需要加上协议:
% P! d% w$ |0 `
. i3 R- K2 N; K" h0 w0 I2 o. u# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。
) z8 z( G8 m7 X3 U- sudo ufw allow <port>/<protocol>
( p0 j4 Q6 v d# \* j, k" o& l放行一个端口范围:
* {2 R$ N- m8 k( b# r6 z8 x1 h- sudo ufw allow <start-port>:<end-port>/<protocol>
- sudo ufw allow 8000:9000/tcp
* t2 n& W' t {! fufw删除已经放行的规则或端口
j2 Y) ]3 j3 n# F5 Y1 X, p要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:2 U; n- a& `7 W m. l
6 f3 Z3 Q4 w& U+ q# M
方法1:通过规则号删除
& k- r, }4 M3 g& `% b1 J首先,运行以下命令以查看当前ufw的状态和现有规则:
4 L/ C: n2 @- a: s
7 _" ^, }) Q; U# q6 J这将显示带有编号的规则列表。5 @/ `0 T' o. ^6 t, a
确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:
3 u2 L! Z) ?3 f# w7 ?+ \. I- sudo ufw delete [rule_number]
7 d0 e) h$ j- c. W$ K例如,要删除编号为1的规则,运行:+ x! ?1 t6 ~- x, P5 D7 ?
3 f) c9 S5 D- |; L
方法2:通过放行条件删除9 k# J% q8 F( L/ q
您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:$ o y x" D# x8 h( l
- sudo ufw delete allow 80/tcp
E9 W/ K. p0 _1 ]$ h' U或者,如果要删除允许UDP端口5000的规则,您可以运行:( ?: S! \$ y/ L7 Q% }6 o
- sudo ufw delete allow 5000/udp
2 N; E8 M/ b1 |5 r' B
9 u' E9 a2 B2 ] D; O% u阻止某个特定的IP, c8 n2 X P( b: `2 O
使用以下命令阻止来自特定IP(例如1.2.3.4)的连接:
( C% ~2 p; y- v# d' t- sudo ufw deny from 1.2.3.4
允许特定IP访问特定端口6 n. S3 j" Y5 O# V/ _% F
使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:
( i4 w. ]& u) ?, x2 m- sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
例如,要允许IP地址1.2.3.4访问TCP端口22,您可以运行:2 R( M. w1 S6 N0 X1 m
- sudo ufw allow from 1.2.3.4 to any port 22/tcp
/ E! W# ]6 `# N7 Z0 L4 | |
发表于 2024-7-21 21:25:53