如何安装和使用Linux防火墙

使用UFW防火墙将您的Ubuntu桌面固定

经过
杰克瓦伦
杰克瓦伦
作家
Jack Wallen是一名前救生村作家,是Te乐动体育赞助chRepublic和Linux.com的屡获殊荣的作家,以及Android专家的声音。
我们的社论过程
杰克瓦伦
2020年2月13日更新

Linux是行星上最安全的桌面和服务器平台之一。开箱即用,你会发现大多数Linux发行版比任何一种更安全视窗或者苹果系统。实际上,对于大多数桌面使用情况,大多数Linux发行版提供的安全性将为您提供良好的服务。但这并不意味着,你应该完全忽略安全的安全操作系统为此,您委托您的数据。事实上,它将您知道如何使用Linux防火墙。

什么是防火墙?

简单地说,防火墙是计算机上的子系统,可以阻止某些网络流量进入或从计算机中进行。防火墙可以创建为非常限制(允许在和/或out overs od)或非常允许的(允许相当有点和/或out)。防火墙有两种不同的类型:

  • 硬件物理设备只能满足保护网络的目的(以及网络上的计算机)。
  • 在仅保护托管机的各个计算机上的软件子系统。

大多数家庭网络取决于两者的组合。硬件解决方案通常是由您部署的调制解调器/路由器ISP.。许多次这些设备都是非常限制的。在软件结束时,您的桌面计算机使用软件防火墙。一个这样的防火墙,可以在许多人上安装和使用Linux.是分布(如ubuntu及其衍生物),是简单的防火墙(UFW)。简单的防火墙正是它听起来的声音。这是一个简单的工具,使管理阻止/允许网络流量相当简单。UFW是一个命令行,只有在帮助保护Linux计算机的优先作业的工具。

安装UFW

UFW状态命令屏幕

在Ubuntu和大多数Ubuntu衍生品中,已经安装了UWF。要查明您的计算机上是否安装了UFW,请打开终端窗口并发出命令:

sudo ufw状态

此命令将(最有可能)报告UFW处于非活动状态。如果未安装UFW,请发出命令

sudo apt-get安装ufw -y

激活UFW

启用UFW防火墙

由于UFW默认情况下不活动,因此您将想要激活它。为此,请发出命令

Sudo UFW Enablenow检查状态时,它将显示为Active.默认策略

UFW中的配置文件

大多数用户不必担心默认策略。但是,最好至少理解这些政策的基础知识。

默认策略是一组规则规则,控制如何处理不明确匹配任何其他规则的流量。有四个默认策略:

  • 进入计算机的输入流量。
  • 输出 - 流量走出计算机。
  • 从一个目的地转发到另一个目的地的前向流量。
  • 应用程序策略 - 由应用程序(而不是网络端口)定义的应用程序。

对于大多数用户而言,只有输入和输出策略将是关注的。

默认的UFW策略已设置在文件中/ etc / default / UFW。发出命令

  • sudo nano / etc /默认/ ufw
    并寻找这四行:
    default_input_policy =“drop”
  • default_output_policy =“接受”
  • default_forward_policy =“drop”
  • default_application_policy =“skip”

重要的是要知道可以使用略有不同的默认策略调整上述每个策略。

  • 输入/输出/转发可以设置为接受,删除或拒绝
  • 应用程序可以设置为接受,丢弃,拒绝或跳过

接受,下降和拒绝之间的差异是:

  • 接受 - 允许通过防火墙的流量。
  • 拒绝 - 不要允许通过防火墙流量并将ICMP目的地无法访问的消息发送回发送源。
  • Drop-禁止数据包传递通过防火墙并发送任何响应。

您可以调整默认策略以满足您的需求。如果更改文件中的策略,请使用命令重新加载UFW规则:

sudo ufw重新加载

允许传入的流量

允许SSH流量在UFW中

由于您可能不需要更改默认的传输策略,因此让我们侧重于允许传入的流量。例如,您希望能够将shell安全到桌面(使用s来自另一台机器的命令。为此,您需要指示UFW允许在标准SSH端口上传入流量(端口22)。这将是:

sudo ufw允许ssh

上面的命令将允许您的网络上的任何机器(甚至超过您的网络,如果您的路由器配置为允许外部流量),则通过端口22访问计算机。

允许来自特定IP地址的SSH流量

这一切都很好,良好,除非你只想允许网络上的特定计算机。例如,您希望只允许一台计算机,其中包含192.168.1.162的IP地址。为此,命令将是:

sudo ufw允许从192.168.1.162到任何端口22

允许

声明指示UFW以下是允许流量的地址。这

任何港口

指示UFW允许交通指定的端口。在上面的例子中,

只要

网络上的计算机将被允许将shell安全到计算机中,这将是IP地址192.168.1.162的一个。

您还可以拒绝到指定的网络接口的流量。例如,您的计算机有两个网络接口:

  • 内部使用网络接口ENS5具有IP地址方案192.168.1.x.
  • 外部使用网络接口ENP0S3具有IP地址方案172.217.1.x

如果您想在192.168.1.162允许传入的SSH流量留下规则,但否认来自外部接口的所有传入流量?为此,命令将是:

sudo ufw否认在任何端口ssh上的enp0s3

发出命令

Sudo UFW状态仍然允许从192.168.1.1.162中看到SSH流量,而外部接口的流量被拒绝.Deleting规则

按号码的UFW规则列表

如果您发现您已创建导致与计算机连接的计算机产生问题的规则,则可以删除您创建的规则。您要做的第一件事是UFW按号码列出了规则。为此,请发出命令:

SUDO UFW状态编号

假设要删除规则编号1.要执行此操作,请发出命令:

sudo ufw删除1

系统将提示您验证规则的删除。类型y和使用输入/返回在键盘上确认。发出命令

sudo ufw状态
此页面是否有帮助?