安装ufw
3 [ ~) x$ d9 N在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:; t5 h! R0 R% {% w
s1 y1 |) \8 ~" A9 {% }
# 安装ufw6 v3 T) s! u! I9 v& n
- sudo apt-get update
. U: Z( U4 K5 }! w! J; P - sudo apt-get install ufw
# 启动ufw9 i: O/ e6 K/ `) d4 g
7 z9 \6 X" g+ U: R( {6 j# 设置为开机自启
/ E; o- ~' r' C: x+ k) T3 s- sudo systemctl enable ufw
执行sudo ufw status查看当前状态,通常有3种状态:" y4 e9 s$ m. Y) y$ }
- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。4 C' k# ~8 J6 q; O; v; P z
- Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。" H/ M" k2 c: v# {4 x" c
- Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
ufw放行端口
& k1 Y* w9 Z# f _3 \9 k/ k' N( Dufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:
- n* f5 m3 c( ^3 c( a; R# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。/ h4 X$ ?& E* @: d
如果需要放行特定协议的端口,我们需要加上协议:
8 t# A( Q6 E l* N! ?- E% f
n( Q' C& }5 L' |# |2 H# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。6 i* P9 E. @ m# x- s0 o. X% Z
- sudo ufw allow <port>/<protocol>
0 `4 `3 [$ c5 P$ z6 f) ~放行一个端口范围:4 H) D% t! k; Z
- sudo ufw allow <start-port>:<end-port>/<protocol>
- sudo ufw allow 8000:9000/tcp
ufw删除已经放行的规则或端口
* L$ o7 i- i5 v% r( H0 M要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:% m' E/ }/ [4 {" w6 I2 y
- }: U d9 A: f- {0 f. X- ~方法1:通过规则号删除9 b) C0 h, R, R( W- t4 `- i6 r2 V
首先,运行以下命令以查看当前ufw的状态和现有规则:" Z) z1 H* j) j
0 W1 h; W- S+ b% i5 Q这将显示带有编号的规则列表。# Y3 }: O6 s8 [+ O& F; S
确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:8 J/ W2 N |% |( W) s
- sudo ufw delete [rule_number]
例如,要删除编号为1的规则,运行:
/ P7 O( J8 r$ x+ [2 g' [( E" _/ R# S- I
方法2:通过放行条件删除
# f; H. r: H2 _% g0 W; K您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:
. J3 H: u9 j `4 g- sudo ufw delete allow 80/tcp
或者,如果要删除允许UDP端口5000的规则,您可以运行:
* [2 k$ l2 k) w' {& x- sudo ufw delete allow 5000/udp
; m7 [9 o s( [* C% w8 `
阻止某个特定的IP
' S; o! k3 N! C+ ^: o使用以下命令阻止来自特定IP(例如1.2.3.4)的连接:
2 ~9 L* Z8 m; Q5 w( X5 a- sudo ufw deny from 1.2.3.4
% d% ^% C! `3 n6 P Y" V$ l允许特定IP访问特定端口
/ n6 E! l! X" c+ s: B使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:# M- ]3 N+ b$ a' G# T" F
- sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
例如,要允许IP地址1.2.3.4访问TCP端口22,您可以运行:( U$ O, K% t c& t& Q6 P6 y: |
- sudo ufw allow from 1.2.3.4 to any port 22/tcp
7 \% G* p. g4 v2 V |
发表于 2024-7-21 21:25:53