安装ufw
G! C3 F. S0 S) @# X在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:! w# i! F; z t& ` H1 `
' B) O1 t1 Y3 C6 q
# 安装ufw
+ j) M' v/ J. F- sudo apt-get update' ], r. i3 R+ K2 D9 s
- sudo apt-get install ufw
# 启动ufw
4 g/ `) p" s' @2 a- s$ Y# o0 H$ Z
% J9 J8 H+ g+ v3 s5 K7 F7 ^( t# 设置为开机自启
6 x; Y2 z Y8 e$ Y5 C$ _; {' h- sudo systemctl enable ufw
执行sudo ufw status查看当前状态,通常有3种状态:, e1 i/ ]) h$ `$ C7 H3 H+ o
- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。
8 F2 m( v9 K- t4 t4 G7 o' [) y, b - Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。
; ~5 F/ J) z1 \ I - Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
ufw放行端口
8 J: @" v) G3 d. A7 r9 T9 Iufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:
# Z9 f6 a) u- B8 q, q# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。. l1 v1 L$ K) h: d' n' \5 ]+ j7 \
如果需要放行特定协议的端口,我们需要加上协议:
$ c1 j5 ~) _0 t, V9 B( F$ F/ H$ x2 R
# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。# {9 f2 O# J( B1 j' P# B' N6 T: Q( f- E
- sudo ufw allow <port>/<protocol>
% S! L% G! R: m9 S. L4 [1 h; l放行一个端口范围:
0 D( g7 y1 X" l2 m" B0 m; h# v% ]+ o- sudo ufw allow <start-port>:<end-port>/<protocol>
- sudo ufw allow 8000:9000/tcp
ufw删除已经放行的规则或端口
9 d$ ^$ |, L2 K( B( p要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:% A+ T# e4 r5 c9 V' ^3 V
( e1 P) h+ ^; g% t7 @- y; T方法1:通过规则号删除
9 q1 @/ P- j3 l首先,运行以下命令以查看当前ufw的状态和现有规则:5 k( v; k4 G q. X
5 Y4 X) O5 |) a, ~" X4 x) x* Y; Q这将显示带有编号的规则列表。
: ?! q8 X, F+ E I. D/ T( j* ?3 {: r确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:
8 [6 ]: a- a. a) S) c$ p, p- sudo ufw delete [rule_number]
例如,要删除编号为1的规则,运行:9 @ w) U+ }4 v9 f z
& H* B8 D) g; O( D
方法2:通过放行条件删除
% C: k5 }" [& w2 g6 f您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:
. q8 M" w2 z% Z9 [* Q) i* {- sudo ufw delete allow 80/tcp
或者,如果要删除允许UDP端口5000的规则,您可以运行:! x _. c" u5 d# W! l
- sudo ufw delete allow 5000/udp
- s$ E# _% P( V! y O5 j, Y
阻止某个特定的IP+ }. o6 W9 p$ T3 h& U
使用以下命令阻止来自特定IP(例如1.2.3.4)的连接:9 f; b$ K$ W3 e6 ?
- sudo ufw deny from 1.2.3.4
允许特定IP访问特定端口
. i5 z* D- Z$ r使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:
" Q: ]' f$ Y3 ?4 F% C5 z- sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
; G0 h7 l, a3 _5 t" G例如,要允许IP地址1.2.3.4访问TCP端口22,您可以运行:: ]- W/ x1 M- z" s
- sudo ufw allow from 1.2.3.4 to any port 22/tcp
' E; g7 u1 @1 g6 L* Q4 ] |
发表于 2024-7-21 21:25:53