Ubuntu Linux UFW 防火牆配置
Ubuntu Server 22.04 LTS 預設安裝UFW防火牆 ( Uncomplicated Firewall )。
UFW 是iptables的前端程式,它簡化了 iptable 複雜的指令及參數,讓使用者能快速上手。
UFW 基礎操作
狀態查詢
# sudo ufw status
啟動 UFW 服務,自動設定開機時啟用
# sudo ufw enable
停用 UFW 服務,自動設定且開機停用
# sudo ufw disbale
UFW 服務預設狀態
# sudo ufw status
# sudo ufw status verbose
成功啟動 (active),設定 UFW 預設允許、拒絕所有連線,並開啟log紀錄(/var/log/ufw.log)
UFW 規則設定
UFW 服務預設拒絕所有連線(deny)
如果要允許所有連線, 設定為 allow
# sudo ufw default allow
改回拒絕所有連線 deny
# sudo ufw default deny
為了主機安全性,請先設定拒絕所有連線,再依需求開啟設定。
UFW 可以依服務、port、ip網段進行設定。
服務設定
語法: ufw <allow/deny> <service name>
使用allow/deny來允許/拒絕指定的服務
UFW支援的服務項目,可以在/etc/services 查看
允許 ssh service連線
# sudo ufw allow ssh
拒絕 ssh service連線
# sudo ufw allow ssh
通訊埠設定
語法: ufw <allow/deny> <port>/<protocol>
使用allow/deny來允許/拒絕指定的port,也可單獨指定tcp/udp連線
允許 port 80 連線,包含tcp/udp
# sudo ufw allow 80
允許 port 80 連線,只限定tcp
# sudo ufw allow 80/tcp
允許 port 80 連線,只限定udp
# sudo ufw allow 80/udp
拒絕 port 80 連線,包含tcp/udp
# sudo ufw deny 8080
拒絕 port 80 連線,只限定tcp
# sudo ufw deny 8080/tcp
拒絕 port 80 連線,只限定udp
# sudo ufw deny 8080/udp
指定 IP/網段
語法: ufw <allow/deny> from <ip/subnet>
指定 IP或網段 允許/拒絕連線所有 port
允許特定IP或網段連線
# sudo ufw allow from 192.168.1.100
# sudo ufw allow from 192.168.1.0/24
拒絕特定IP或網段連線
# sudo ufw deny from 192.168.2.100
# sudo ufw deny from 192.168.2.0/24
指定 IP或網段 連線特定 port 的tcp/udp
語法: ufw <allow/deny> from <target> to <destionation> port <port> prot <protocol>
允許特定IP或網段連線 port 80
# sudo ufw allow from 192.168.1.100 to any port 80
# sudo ufw allow from 192.168.1.0/24 to any port 80
拒絕特定IP或網段連線 port 80
# sudo ufw deny from 192.168.2.100 to any port 80 proto tcp
# sudo ufw deny from 192.168.2.0/24 to any port 80 proto tcp
刪除 UFW 規則
UFW規則刪除有2個方法
1.依建立時的規則刪除
依服務刪除
# sudo ufw delete allow ssh
依 port 刪除
# sudo ufw delete allow 80
# sudo ufw delete allow 8080/tcp
2.依規則序號刪除
列出所有UFW規則序號
#sudo ufw status numbered
依序號刪除
#sudo ufw delete 1
重設 UFW 規則
直接清空現有規則,重新設定UFW。
# sudo ufw reset
使用ufw reset清除規則後,UFW會變為inactive,需重新enable啟動服務
UFW log紀錄設置
語法: ufw logging < on|off|LEVEL >
UFW預設開啟log紀錄,位置為/var/log/ufw.log
UFW log LEVEL low、medium、high、full 四種,預設等級為low,可以依需求調整。
開啟 UFW log 紀錄
# sudo ufw logging on
關閉 UFW log 紀錄
# sudo ufw logging off
調整 UFW log LEVEL為medium
# sudo ufw logging medium
參考資料:
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。