安装ufw
& d" q9 i5 C* Y在 Debian、Ubuntu 或其衍生版本上,打开终端并执行以下命令安装:
' n) b j: Z+ f9 i2 ~8 ?( k. J
1 }+ ]3 s. n& [. b9 J. j# 安装ufw
8 S, E4 a+ Q. P9 t- sudo apt-get update
9 R2 Z7 w; [0 k3 x - sudo apt-get install ufw
复制代码 ' ^& c) A- Z& h3 ~( y+ g. k
# 启动ufw! ?( A9 U& I% ^8 C8 ~! @$ a
; u/ M5 M% l5 `* R# O1 F- w3 C- b# 设置为开机自启 k+ {( p4 q( m* x$ @. s0 s- |
- sudo systemctl enable ufw
复制代码
X6 A w# c2 T1 n! t- z执行sudo ufw status查看当前状态,通常有3种状态:$ ^1 }5 s9 V+ ?+ q: `$ |: O
- Status: inactive(未启用):表示 UFW 没有启用,防火墙处于关闭状态。
@* p, f, |% C, J2 D. d. \0 v8 t% Q) _ - Status: active(已启用):表示 UFW 已经启用,并且防火墙规则正在应用于系统。* z3 _1 B2 m3 z& w$ V
- Status: inactive (dead)(未启用且未运行):表示 UFW 已被禁用,并且防火墙未在系统中运行。
复制代码 5 E+ U9 ?; F* \/ x6 E
ufw放行端口
( N2 T# h& J& J2 S) ~ufw的命令比firewalld简洁许多,比如你想放行单个端口,只需要执行:
1 S9 }- j b) r5 j* [ y. L# 将 <port> 替换为你要放行的具体端口号。例如,要放行 TCP 端口 80,可以执行 sudo ufw allow 80。
$ K) Q7 k V# q( Z+ }- c2 M如果需要放行特定协议的端口,我们需要加上协议:
6 O4 q5 I& F# B9 T6 L' r
4 _7 I- ^8 F5 { N! E2 R4 q$ H! m) \# 将 <port> 替换为端口号,<protocol> 替换为协议类型(如 tcp、udp)。例如,要放行 UDP 端口 53,可以执行 sudo ufw allow 53/udp。) e! J3 v4 o! H' {( i
- sudo ufw allow <port>/<protocol>
复制代码 * d7 C& C# g7 g/ ]- _
放行一个端口范围:
! u+ A9 l# E R% e5 u, m9 ~- sudo ufw allow <start-port>:<end-port>/<protocol>
复制代码 将 <start-port> 替换为起始端口号,<end-port> 替换为结束端口号,<protocol>为协议。例如,要放行 TCP 端口范围 8000 到 9000,可以执行- sudo ufw allow 8000:9000/tcp
复制代码 3 i1 {* [' o* ?* ~
ufw删除已经放行的规则或端口 {' u4 _3 n5 [. x, W* e
要在ufw(Uncomplicated Firewall)中删除已添加的规则,您可以通过规则号或者具体的放行条件来删除。以下是两种方法:
4 s' V7 }' s3 W- b" A* y5 F+ Y# E
5 ?5 c3 g8 i4 l( F$ ^! n方法1:通过规则号删除
* b1 E: p* K6 F+ Z3 ]首先,运行以下命令以查看当前ufw的状态和现有规则:) m. M7 y9 i% K4 M
8 U/ |* s9 e9 @) B$ A9 I( }
这将显示带有编号的规则列表。8 L' K6 n# S$ s. V9 ?- d( }
确定您要删除的规则的编号,然后使用以下命令删除它,将[rule_number]替换为实际的规则编号:+ c% v$ k* [1 F) S+ p
- sudo ufw delete [rule_number]
复制代码 $ b8 i9 x% z$ `' @6 F: }
例如,要删除编号为1的规则,运行:( ^7 ~& a0 M9 ~
& ]. S- `/ O, M( @方法2:通过放行条件删除
0 E. v* P1 Y& }: ?1 N( i您还可以通过指定放行条件(例如端口和协议)来删除规则。例如,要删除允许TCP端口80的规则,您可以运行:
; }: ~) U0 S& s6 i- sudo ufw delete allow 80/tcp
复制代码
0 H) ]- `* O: K% C" i0 H' \! I或者,如果要删除允许UDP端口5000的规则,您可以运行:3 D0 f' i/ N( D, p
- sudo ufw delete allow 5000/udp
复制代码 删除规则后,再次运行sudo ufw status以确认所选规则已从ufw中删除。. x3 V- q. W/ }+ ]
6 U( |( B3 w5 P& Q+ G阻止某个特定的IP. I$ |- N$ b4 M7 |
使用以下命令阻止来自特定IP(例如1.2.3.4)的连接:. b* p! @1 w0 V4 M7 R
- sudo ufw deny from 1.2.3.4
复制代码 : j+ Y4 P; l+ T6 z
允许特定IP访问特定端口4 [8 c6 M! }9 h2 [
使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址,将[port_number]替换为要允许访问的实际端口号,将[protocol]替换为tcp或udp,具体取决于您要放行的协议:: i+ A; i2 @# A- H1 \
- sudo ufw allow from [ip_address] to any port [port_number]/[protocol]
复制代码
$ h; |4 ?- \% a例如,要允许IP地址1.2.3.4访问TCP端口22,您可以运行:3 W) K# p* Y6 [& P( ?' P* c5 a! x
- sudo ufw allow from 1.2.3.4 to any port 22/tcp
复制代码 . }2 E" F6 @$ G! Q, T$ V
|