执行查看防火墙状态命令: sudo ufw status例如:我开放了192.168.31.143这个IP,并只为这个IP开放了11211端口,执行sudo ufw status命令后,会显示如下信息
查看UFW状态和配置规则
执行查看防火墙状态和配置规则命令: sudo ufw status verbose配置防火墙规则
当你需要开始配置你的防火墙规则时,首先,你需要设置默认规则:拒绝所有流入连接,允许流出连接。意思是,不允许任何人连接你的主机,允许主机内的任何应用访问外部网络。
sudo ufw default deny incoming
sudo ufw default allow outgoing开启一个端口
(开启端口的意思就是:如果一个端口打开了,那么外部网络就可以通过这个端口来访问我们的服务
例如:我在Linux上安装了Memcached服务,它的默认端口号是11211。(我这台Linux服务器的IP地址是192.168.31.165) 现在我在这台Linux服务器中开启防火墙,并打开了这个11211端口,那么外部网络就可以通过192.168.31.165:11211这个地址来请求这个Memcached服务。如果我关闭了这个11211端口,那么外部网络再想通过192.168.31.165:11211这个地址来请求Memcached服务,就会被防火墙拦截,这样外网就无法请求成功了。
执行开启11211端口命令: sudo ufw allow 11211 (即:允许外部访问11211端口)禁用端口
执行禁用11211端口命令: sudo ufw delete allow 11211 (即:禁止外部访问11211端口)开放指定IP访问
执行开放IP命令: sudo ufw allow from 192.168.31.1 (即:允许192.168.31.1这个IP访问所有的本机端口)禁用指定IP访问
执行禁止IP命令: sudo ufw deny allow from 192.168.31.1 (即:禁止192.168.31.1这个IP访问所有的本机端口)删除规则
(例如:上面定义了一个开放指定IP访问的规则,我们通过下面语句就可以将这条规则删除)
执行删除规则命令: sudo ufw delete allow from 192.168.31.1
(即:删除“允许192.168.31.1这个IP访问所有的本机端口的规则”)开放指定IP指定端口
sudo ufw allow from 192.168.31.1 to any port 11211 (即:允许192.168.31.1这个IP访问11211这个端口)指定端口范围 【指定端口范围时,你必须指定协议类型(TCP 或 UDP)】
你可以指定一个端口范围,来配置防火墙策略,当有些服务需要使用多个端口时,这个就起到了作用。
如,为了允许所有 X11 连接,他们使用的端口范围是 6000 ~ 6007,你可以这样配置:
sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp配置子网
当你需要允许子网内所有的 IP,你可以 CIDR 的格式来配置,例如:当你需要允许 IP 地址从 192.168.1.1 到 192.168.1.254 内所有 IP 的连接时,你可以这样配置:
sudo ufw allow from 192.168.1.1/24配置子网,并指定端口号
当你需要允许子网内所有的 IP来访问服务器中的11211这个端口的时候,你可以 CIDR 的格式来配置,例如:当你需要允许 IP 地址从 192.168.1.1 到 192.168.1.254 内所有 IP 的连接访问11211这个端口时,你可以这样配置:
sudo ufw allow from 192.168.1.1/24 to any port 11211使用IPv6
如果你的 Ubuntu 服务器已启用 IPv6,为了确保 UFW 能支持 IPv6 协议。
打开 UFW 的相关配置,使用你最喜欢的编辑器,这里我使用 vi :
sudo vi /etc/default/ufw然后,确认 IPv6 是否设置成 yes,如果没有则设置为 yes,大致如下:
...
IPV6=yes
...指定网络接口
ifconfig、route、ip route、ip addr、 ip link 用法与区别 如果您想创建只适用于特定网络接口的防火墙规则,您可以通过指定 allow in on 加上网络接口的名称 来配置规则。
在配置之前你可以先查找所有的网络接口,再配置:
执行查看所有网络接口命令:sudo ip addr (也可以用 sudo ifconfig -a查看)查询结果一般如下(假设eth0 为公网地址,eth1为内网地址)
# Output Excerpt:
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
...
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
...上面列举了网络接口的一些信息,他们通常叫做 eth0,eth1 或 enp0s0,enp0s1 之类的名字。
假如你的 eth0 为公网地址,你同事需要向外开放 80 端口,你可以如下操作:
sudo ufw allow in on eth0 to any port 80上面配置中,你的服务器将会接受来自于公网的 HTTP 请求。
另外,假如你想你的 MySQL 服务器(监听 3306)只接受通过内网网卡 eth1 的请求,你可以这样:
