iptables是一种强大而灵活的工具,是简单防火墙UFW的接口,centos上叫firewall防火墙,如果你想简单入门,UFW可能是您的正确选择。
默认Debian默认不安装UFW。
请使用sudo apt install ufw安装。
sudo ufw status verbose
sudo ufw disable
sudo ufw reset
sudo ufw enable
默认情况下,UFW设置为拒绝所有传入连接并允许所有传出连接。
要设置UFW使用的默认值,请使用以下命令:
sudo ufw default deny incoming sudo ufw default allow outgoing
将服务器配置为允许传入的SSH连接,可以使用以下命令:
sudo ufw allow ssh
或者
sudo ufw allow 22
如果您将SSH守护程序配置为使用其他端口,则必须指定适当的端口。sudo ufw allow 2222
端口上的HTTP 80,这是未加密的Web服务器使用的端口。要允许这种类型的流量,您可以输入sudo ufw allow http或sudo ufw allow 80。
端口上的HTTPS 443,这是加密的Web服务器使用的端口。要允许这种类型的流量,您可以输入sudo ufw allow https或sudo ufw allow 443。
用UFW指定端口范围时,必须指定规则应适用的协议(tcp或udp)。
sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp
sudo ufw allow from 203.0.113.4
sudo ufw allow from 203.0.113.0/24
sudo ufw allow from 203.0.113.4 to any port 22
sudo ufw allow from 203.0.113.0/24 to any port 22
sudo ufw allow in on eth0 to any port 80
sudo ufw allow in on eth1 to any port 3306
将allow替换为deny。
类似iptables中的 iptables -L -n --line
sudo ufw status numbered
Output
Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 15.15.15.0/24
[ 2] 80 ALLOW IN Anywhere
如果我们决定要删除rule 2,该规则允许port上的HTTP连接80,则可以在以下UFW delete命令中指定:
sudo ufw delete 2
UFW除了管理IPv4外,还可以管理IPv6的防火墙规则。但是要启用IPv6,
sudo nano /etc/default/ufw确保IPV6=yes
在启用UFW之前,您需要确保已将防火墙配置为允许您通过SSH连接。各发行版的防火墙策略生效机制不同,和centos7之前的版本,只要你规则写好了,直接生效,写错了,直接就把你拒之门外,firewall则是要reload一下。还给你一个考虑的时间。