2023年8月9日 星期三

Ubuntu Linux UFW 防火牆配置

Ubuntu Linux UFW 防火牆配置

Ubuntu Server 22.04 LTS 預設安裝UFW防火牆 ( Uncomplicated Firewall )。
UFW 是iptables的前端程式,它簡化了 iptable 複雜的指令及參數,讓使用者能快速上手。

UFW 基礎操作

狀態查詢
# sudo ufw status
ufw default status








啟動 UFW 服務,自動設定開機時啟用
# sudo ufw enable
ufw enable




停用 UFW 服務,自動設定且開機停用
# sudo ufw disbale
ufwdisable




UFW 服務預設狀態
# sudo ufw status
# sudo ufw status verbose
ufw enable status






成功啟動 (active),設定 UFW 預設允許、拒絕所有連線,並開啟log紀錄(/var/log/ufw.log)


UFW 規則設定

UFW 服務預設拒絕所有連線(deny)

如果要允許所有連線, 設定為 allow
# sudo ufw default allow
改回拒絕所有連線 deny
# sudo ufw default deny
ufw default rule status









為了主機安全性,請先設定拒絕所有連線,再依需求開啟設定。
UFW 可以依服務、port、ip網段進行設定。

服務設定

語法: ufw <allow/deny> <service name>
使用allow/deny來允許/拒絕指定的服務
UFW支援的服務項目,可以在/etc/services 查看

允許 ssh service連線
# sudo ufw allow ssh
拒絕 ssh service連線
# sudo ufw allow ssh

ufw allow ssh









通訊埠設定

語法: ufw <allow/deny> <port>/<protocol>
使用allow/deny來允許/拒絕指定的port,也可單獨指定tcp/udp連線

允許 port 80 連線,包含tcp/udp
# sudo ufw allow 80
允許 port 80 連線,只限定tcp
# sudo ufw allow 80/tcp
允許 port 80 連線,只限定udp
# sudo ufw allow 80/udp

拒絕 port 80 連線,包含tcp/udp
# sudo ufw deny 8080
拒絕 port 80 連線,只限定tcp
# sudo ufw deny 8080/tcp
拒絕 port 80 連線,只限定udp
# sudo ufw deny 8080/udp
ufw allow port













指定 IP/網段 

語法: ufw <allow/deny>  from <ip/subnet>
指定 IP或網段 允許/拒絕連線所有 port 

允許特定IP或網段連線 
# sudo ufw allow from 192.168.1.100
# sudo ufw allow from 192.168.1.0/24

拒絕特定IP或網段連線
# sudo ufw deny from 192.168.2.100
# sudo ufw deny from 192.168.2.0/24

ufw allow ip













指定 IP或網段 連線特定 port 的tcp/udp

語法: ufw <allow/deny> from <target> to <destionation> port <port> prot <protocol>

允許特定IP或網段連線 port 80
# sudo ufw allow from 192.168.1.100 to any port 80
# sudo ufw allow from 192.168.1.0/24 to any port 80

拒絕特定IP或網段連線 port 80
# sudo ufw deny from 192.168.2.100 to any port 80 proto tcp
# sudo ufw deny from 192.168.2.0/24 to any port 80 proto tcp
ufw allow ip port













刪除 UFW 規則

UFW規則刪除有2個方法
1.依建立時的規則刪除

依服務刪除 
# sudo ufw delete allow ssh
依 port 刪除
# sudo ufw delete allow 80
# sudo ufw delete allow 8080/tcp

ufw rules delete







2.依規則序號刪除
列出所有UFW規則序號
#sudo ufw status numbered
依序號刪除 
#sudo ufw delete 1
ufw delete rule number













重設 UFW 規則

直接清空現有規則,重新設定UFW。
# sudo ufw reset
ufw reset rule














使用ufw reset清除規則後,UFW會變為inactive,需重新enable啟動服務

UFW log紀錄設置

語法: ufw logging < on|off|LEVEL >
UFW預設開啟log紀錄,位置為/var/log/ufw.log
UFW log LEVEL low、medium、high、full 四種,預設等級為low,可以依需求調整。
開啟 UFW log 紀錄
# sudo ufw logging on
關閉 UFW log 紀錄
# sudo ufw logging off
調整 UFW log LEVEL為medium
# sudo ufw logging medium
ufw logging










參考資料:

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。