Ubuntu默認防火墻安裝配置啟用命令是什么
防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成,防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。Ubuntu11.04默認的是UFW(ufw 即uncomplicated firewall的簡稱,不復雜的防火墻,繁瑣部分的設置還是需要去到iptables)防火墻,已經(jīng)支持界面操作了。在命令行運行ufw命令就可以看到提示的一系列可進行的操作,下面一起看看具體操作!
最簡單的一個操作:
sudo ufw status(如果你是root,則去掉sudo,ufw status)可檢查防火墻的狀態(tài),我的返回的是:inactive(默認為不活動)。
sudo ufw version防火墻版本:
ufw 0.29-4ubuntu1
Copyright 2008-2009 Canonical Ltd.
ubuntu 系統(tǒng)默認已安裝ufw.
1.安裝
sudo apt-get install ufw
2.啟用
sudo ufw enable
sudo ufw default deny
運行以上兩條命令后,開啟了防火墻,并在系統(tǒng)啟動時自動開啟。關閉所有外部對本機的訪問,但本機訪問外部正常。
3.開啟/禁用
sudo ufw allow|deny [service]
打開或關閉某個端口,例如:
sudo ufw allow smtp 允許所有的外部IP訪問本機的25/tcp (smtp)端口
sudo ufw allow 22/tcp 允許所有的外部IP訪問本機的22/tcp (ssh)端口
這個很重要,ssh遠程登錄用于SecureCRT等軟件建議開啟?;蛘卟灰_防火墻。
sudo ufw allow 53 允許外部訪問53端口(tcp/udp)
sudo ufw allow from 192.168.1.100 允許此IP訪問所有的本機端口
sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53
sudo ufw deny smtp 禁止外部訪問smtp服務
sudo ufw delete allow smtp 刪除上面建立的某條規(guī)則
4.查看防火墻狀態(tài)
sudo ufw status
一般用戶,只需如下設置:
sudo apt-get install ufw
sudo ufw enable
sudo ufw default deny
以上三條命令已經(jīng)足夠安全了,如果你需要開放某些服務,再使用sudo ufw allow開啟。
開啟/關閉防火墻 (默認設置是’disable’)
sudo ufw enable|disable
轉換日志狀態(tài)
sudo ufw logging on|off
設置默認策略 (比如 “mostly open” vs “mostly closed”)
sudo ufw default allow|deny
許 可或者屏蔽端口 (可以在“status” 中查看到服務列表)??梢杂?ldquo;協(xié)議:端口”的方式指定一個存在于/etc/services中的服務名稱,也可以通過包的meta-data。 ‘allow’ 參數(shù)將把條目加入 /etc/ufw/maps ,而 ‘deny’ 則相反?;菊Z法如下:
sudo ufw allow|deny [service]
顯示防火墻和端口的偵聽狀態(tài),參見 /var/lib/ufw/maps。括號中的數(shù)字將不會被顯示出來。
sudo ufw status
UFW 使用范例:
允許 53 端口
$ sudo ufw allow 53
禁用 53 端口
$ sudo ufw delete allow 53
允許 80 端口
$ sudo ufw allow 80/tcp
禁用 80 端口
$ sudo ufw delete allow 80/tcp
允許 smtp 端口
$ sudo ufw allow smtp
刪除 smtp 端口的許可
$ sudo ufw delete allow smtp
允許某特定 IP
$ sudo ufw allow from 192.168.254.254
刪除上面的規(guī)則
$ sudo ufw delete allow from 192.168.254.254
linux 2.4內(nèi)核以后提供了一個非常優(yōu)秀的防火墻工具:netfilter/iptables,他免費且功能強大,可以對流入、流出的信息進行細化控制,它可以 實現(xiàn)防火墻、NAT(網(wǎng)絡地址翻譯)和數(shù)據(jù)包的分割等功能。netfilter工作在內(nèi)核內(nèi)部,而iptables則是讓用戶定義規(guī)則集的表結構。
但是iptables的規(guī)則稍微有些“復雜”,因此ubuntu提供了ufw這個設定工具,以簡化iptables的某些設定,其后臺仍然是 iptables。ufw 即uncomplicated firewall的簡稱,一些復雜的設定還是要去iptables。
ufw相關的文件和文件夾有:
/etc /ufw/:里面是一些ufw的環(huán)境設定文件,如 before.rules、after.rules、sysctl.conf、ufw.conf,及 for ip6 的 before6.rule 及 after6.rules。這些文件一般按照默認的設置進行就ok。
若開啟ufw之 后,/etc/ufw/sysctl.conf會覆蓋默認的/etc/sysctl.conf文件,若你原來的/etc/sysctl.conf做了修 改,啟動ufw后,若/etc/ufw/sysctl.conf中有新賦值,則會覆蓋/etc/sysctl.conf的,否則還以/etc /sysctl.conf為準。當然你可以通過修改/etc/default/ufw中的“IPT_SYSCTL=”條目來設置使用哪個 sysctrl.conf.
/var/lib/ufw/user.rules 這個文件中是我們設置的一些防火墻規(guī)則,打開大概就能看明白,有時我們可以直接修改這個文件,不用使用命令來設定。修改后記得ufw reload重啟ufw使得新規(guī)則生效。
下面是ufw命令行的一些示例:
ufw enable/disable:打開/關閉ufw
ufw status:查看已經(jīng)定義的ufw規(guī)則
ufw default allow/deny:外來訪問默認允許/拒絕
ufw allow/deny 20:允許/拒絕 訪問20端口,20后可跟/tcp或/udp,表示tcp或udp封包。
ufw allow/deny servicename:ufw從/etc/services中找到對應service的端口,進行過濾。
ufw allow proto tcp from 10.0.1.0/10 to 本機ip port 25:允許自10.0.1.0/10的tcp封包訪問本機的25端口。
ufw delete allow/deny 20:刪除以前定義的"允許/拒絕訪問20端口"的規(guī)則
補充閱讀:防火墻主要使用技巧
一、所有的防火墻文件規(guī)則必須更改。
盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動管理流程,因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改,會導致宕機嗎?這是一個相當高發(fā)的狀況。
防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障,讓整個協(xié)議管理更加簡單和高效。
二、以最小的權限安裝所有的訪問規(guī)則。
另一個常見的安全問題是權限過度的規(guī)則設置。防火墻規(guī)則是由三個域構成的:即源(IP地址),目的地(網(wǎng)絡/子網(wǎng)絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個或者更多域內(nèi)指定打來那個的目標對象。當你出于業(yè)務持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡,這些規(guī)則就會變得權限過度釋放,因此就會增加不安全因素。服務域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?
三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。
在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應用新產(chǎn)品和業(yè)務部門的過程中,我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。
四、當服務過期后從防火墻規(guī)則中刪除無用的規(guī)則。
規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題,因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網(wǎng)絡以及應用軟件更新周期對于達成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。
Ubuntu默認防火墻安裝配置啟用命令是什么相關文章: