如何配置ufw防火墙?
美国、香港服务器
如何配置ufw防火墙?
12-18 来源:
以下是详细的 ufw(Uncomplicated Firewall)配置步骤:
一、安装 ufw
首先,确保你的 Debian 系统是最新的,通过以下命令更新软件包列表:
sudo apt-get update
然后安装 ufw:
sudo apt - get install ufw
二、基本规则配置
设置默认策略
出站规则:一般情况下,允许所有出站连接是比较合理的。出站连接用于服务器主动向外部发送数据,例如软件包更新、发送邮件等。使用以下命令设置默认允许出站连接:
sudo ufw default allow outgoing
入站规则:为了安全起见,默认拒绝所有入站连接。入站连接是外部试图访问服务器内部服务的连接。使用以下命令设置默认拒绝入站连接:
sudo ufw default deny incoming
允许特定服务
基于服务名称允许:
ufw 已经预定义了一些常见服务的名称,如ssh(用于安全外壳协议连接,默认端口是 22)。如果要允许 SSH 连接,方便你远程管理服务器,可使用命令:
sudo ufw allow ssh
对于其他服务,如http(用于网页服务,默认端口是 80)和https(用于安全的网页服务,默认端口是 443),可以分别使用命令:
sudo ufw allow http
sudo ufw allow https
基于端口号允许:
如果你要允许一个非标准服务或者需要指定端口号来允许服务,比如允许一个自定义的 Web 服务运行在端口 8080 上,并且使用 TCP 协议,可以使用命令:
sudo ufw allow 8080/tcp
如果服务使用 UDP 协议,例如某些 DNS 服务可能使用 UDP 端口 53,命令则为:
sudo ufw allow 53/udp
拒绝特定服务或端口
与允许规则相反,如果你想拒绝某个服务或端口的连接,可以使用deny选项。例如,要拒绝 FTP(文件传输协议,默认端口是 21)连接,可以使用命令:
sudo ufw deny ftp
或者拒绝某个特定端口的 UDP 连接,如拒绝端口 123(NTP 服务可能使用的端口)的 UDP 连接,命令为:
sudo ufw deny 123/udp
三、高级规则配置
限制 IP 地址范围
你可以限制只有特定的 IP 地址或 IP 地址段能够访问某些服务。例如,只允许来自内部网络(假设内部网络的 IP 地址范围是 192.168.1.0/24)的 SSH 访问,可以使用以下命令:
sudo ufw allow from 192.168.1.0/24 to any port 22
或者限制某个端口只允许单个 IP 地址访问,如只允许 IP 地址为 1.2.3.4 访问运行在端口 8080 的服务:
sudo ufw allow from 1.2.3.4 to any port 8080
日志记录
ufw 可以记录防火墙的活动,这对于监控和安全审计很有用。可以使用以下命令开启日志记录:
sudo ufw logging on
日志文件默认存储在/var/log/ufw.log中。你可以通过查看这个日志文件来了解防火墙的活动情况,例如哪些连接被允许或拒绝。
四、启用和禁用 ufw
启用 ufw
在配置好所有规则后,你需要启用 ufw 防火墙,使规则生效。使用命令:
sudo ufw enable
当启用 ufw 时,系统会提示你确认操作。一旦启用,ufw 会在系统启动时自动加载规则。
禁用 ufw
如果你需要暂时关闭 ufw,例如进行测试或者排除故障,可以使用命令:
sudo ufw disable
五、检查 ufw 状态和规则
检查状态
要查看 ufw 的状态,包括是否启用以及当前的默认规则,可以使用命令:
sudo ufw status
如果想查看更详细的信息,包括已允许和已拒绝的规则,可以使用命令:
sudo ufw status verbose
检查规则编号
每个 ufw 规则都有一个编号。你可以使用以下命令查看规则编号:
sudo ufw status numbered
规则编号可以用于修改或删除特定的规则。例如,如果你想删除第二条规则,可以使用命令sudo ufw delete 2。
通过以上步骤,你可以全面地配置 ufw 防火墙来满足 Debian 服务器的安全需求。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
