linux防火墙配置与管理.doc

Linux server管理与运用By 何亚森linux防火墙配置与管理21 ufw防火墙简介我们在工作中使用防火墙保护服务器的网络服务，实际上是通过防火墙来拒绝或允许对服务器网络服务的访问。Linux使用iptable 工具根据系统管理员编写的一系列规则筛选网络数据包，实现包过滤防火墙，对于初学者来说，iptable 比较复杂，所以Ubuntu Server 使用名为 Uncomplicated FireWall（“不复杂的防火墙”UFW）的防火墙，是Ubuntu系统上配置iptable防火墙的工具，这实际上是一个 iptable 的简化接口或界面，ufw提供一个非常友好的界面用于创建基于IPV4、IPV6的防火墙规则，但是只有iptable的最常用或主要的一部份功能，不能全部代替iptable。2 Ufw的安装与使用此程序（ufw）是为了使linux防火墙更易于使用和管理，ufw与其它linux类防火墙一样，使用iptable作为后台。 2.1 安装方法： Ubuntu server通常已默认安装。 要手动安装使用命令：sudo apt-get install ufw2.2 基本用法Basic Syntax是代表可选内容。可能需要root权限，如无法运行，请使用 sudo ufw的命令结构。 常用参数说明：-dry-run表示不实际运行，只是把涉及的更改显示出来。-version 显示程序版本号-h , -help 显示帮助信息 2.2.1 开启/关闭防火墙 (默认设置是disable)ufw -dry-run enable|disable|reload 命令-试运行激活关闭重新载入 enable 激活防火墙，开机时自动启动 disable 关闭防火墙，开机时不启动 reload 重新载入防火墙2.2.2 设置默认策略 (比如 “mostly open” vs “mostly closed”)ufw -dry-run default allow|deny|reject incoming|outgoing 命令-试运行默认 允许阻止拒绝 访问本机的规则向外访问的规则注：reject让访问者知道数据被拒绝（回馈拒绝信息）。deny则直接丢弃访问数据，访问者不知道是访问被拒绝还是不存在该主机。 方向是指：向内（incoming）向外（outgoing）。如果更改了默认策略，一些已经存在的规则可能需要手动修改。2.2.3 启用或关闭日志 ufw -dry-run logging on|off|LEVEL 命令-试运行日志 开启关闭“级别”“级别”有好几个，默认是低级（low）。用户也可以自己指定： ufw logging onoff|low|medium|high|fulloff 就是关闭日志 low 记录与默认策略冲突的封装数据包（记录速度被限制）。记录与规则符合的数据包（没有要求关闭记录的） medium 记录与默认策略冲突的数据包（包括被规则允许的）、无效数据包、所有新连接。记录速度被限制。 high 同medium，只是没有记录速度限制。附加记录所有数据包（有记录速度限制）。 full 与high等同，只是取消记录限制。 medium级别及更上级会记录许多内容，有可能短时间内撑爆你的硬盘。特别是用在服务器一类的机器上。 on与off只是起开关作用，不代表级别。 2.2.4 复位 ufw reset -force 关闭防火墙，并复位至初始安装状态。如果使用-force选项，则忽略确认提示。2.2.5 显示工作状态 ufw statusufw -dry-run status verbose|numbered 显示防火墙的状态和已经设定的规则。使用status verbose显示更详细的信息，使用status numbered显示被编号的规则。anywhere与any、/0一个意思。 ufw show “报告类型”ufw -dry-run show REPORT显示防火墙运行信息。ufw的报告是基于系统。使用形式是iptable格式： raw 完整报告，下面是该报告的细选。 builtins before-rules user-rules logging-rules listening 显示系统对tcp的监听和udp的开放状态。同时显示被监听端口的地址。如果地址变为“”，说明该端口对所有地址开放。接下来是显示可能影响该端口的规则。 网络应用的配置文件命令sudo ufw app list 列出系统当前的网络应用的配置文件sudo ufw app info profile显示某一个配置文件的信息，例如：sudo ufw app info Samba2.2.6 定义访问规则允许或拒绝某个网络服务 简单命令：ufw allow|deny service|port number 设置防火墙对网络服务或某端口的访问状态，允许还是拒绝。例如：允许samba访问sudo ufw allow Samba允许 53 端口 $ sudo ufw allow 53禁用 53 端口 $ sudo ufw delete allow 5 复杂命令： ufw -dry-run delete insert NUM allow|deny|reject|limit in|outlog|log-all PORT/protocol 命令-试运行删除 插到“x号规则”之前 允许阻止拒绝限制 进出 记录新连接记录所有数据包 “端口” /“协议” ufw -dry-run delete insert NUM allow|deny|reject|limit in|out on INTERFACE log|log-all proto protocol from ADDRESS port PORT to ADDRESS port PORT 命令 -试运行删除插到x号规则之前 允许阻止拒绝限制 进出 基于“什么网络设备” 协议 “协议” 来源 “地址” 端口 “端口” 目标 “地址” 端口 “端口”2.2.7 删除访问规则 ufw -dry-run delete NUM 命令-试运行 删除 “第X号规则”也可以删除某个规则，输入：sudo delete rule 例如：添加一条规则：sudo ufw allow 22接着在刚才的规则前插入规则：sudo ufw insert 1 allow 80删除刚才创建的规则：sudo ufw delete 1或者添加一条规则：sudo ufw deny 22删除这条规则：sudo ufw delete deny 222.3 规则示例 规则可以简写也可以完整表达。简写的规则只能指定端口和（或）协议被允许或阻止。默认是访问本机的规则（incoming）。例如： ufw allow 53 允许其它机子访问本机53端口，协议包含tcp和udp。如果要控制协议，只要加入“/协议”在端口后面就行了。例如： ufw allow 25/tcp 允许其它机子使用tcp协议访问25端口。UFW也可以检查 /etc/services文件，明白服务的名字及对应的端口和协议。我们使用服务的名称即可。 ufw allow smtpUFW同时支持出入口过滤。用户可以使用in或out来指定向内还是向外。如果未指定，默认是in。例如： ufw allow in http ufw reject out smtp ufw deny out to 阻止向发送信息用户也可使用完整的规则来指定来源与目的地，还有端口。书写规则基于OpenBSD PF。举例： ufw deny proto tcp to any port 80 阻止本机用tcp协议在80端口发数据 ufw deny proto tcp from /8 to port 25 This will deny all traffic from the RFC1918 Class A network to tcp port 25 with the address .（这条命令目前无法翻译 from 和 to的关系，希望后来者更改）ufw也可以使用IPv6协议。但要事先在/etc/default/ufw 中设定IPv6为启动状态。举例： ufw deny proto tcp from 2001:db8:/32 to any port 25 阻止IPv6为2001:db8:/32类型的地址，连接本机25端口ufw可以连续例举端口号。端口号间必须使用逗号或分号，不能使用空格。“输入端口号”字符数最多不能超过15过（8080：8090算两个字符）。比如允许80,443，80808090这几个端口接受tcp传入连接。 ufw allow proto tcp from any to any port 80,443,8080:8090 此例，“输入端口号”字符数为4个。ufw可以对连接数率进行限制，以防范暴力登录攻击。如果同一个IP地址在30秒之内进行了6次及6次以上的连接，ufw将阻止（deny）该连接。可以查看更多信息。 ufw limit ssh/tcp当然有些时候我们想让访问者知道他的访问被拒绝了,而不是保持沉默让他不知道哪出了问题。就使用reject代替deny ufw reject auth默认情况下ufw的所有规则针对所有网络设备（比如网卡1，网卡2，无线网卡1，虚拟网卡1）。但是我们可以特别指定，某规则在什么网络设备上生效。注意只能使用设备号，不能用别名。比如有线网卡：eth0(你可以使用ifconfig命令查看你现有的网络设备） ufw allow in on eth0 to any port 80 proto tcp要删除规则，只要在命令中加入delete就行了。比如： ufw deny 80/tcp 要删除这条命令建立的规则，使用： ufw delete deny 80/tcp 当然，也可以使用规则号来进行删除。比如要第3号规则 ufw delete 3 注意，如果你开启IPv6功能。要同时删除IPv4和IPv6的规则（比如：ufw allow 22/tcp）,如果用规则号的方式删除可能只删除了一个。显示第几号规则，可以使用这样的命令 ufw status numbered(也就是规则号)日志功能。如果使用log将记录所有符合规则的新连接，如果使用log-all将记录所有符合规则的数据包。例如，要允许并记录shh（22/tcp）上的新连接： ufw allow log 22/tcp特殊例子：允许RFC1918网络结构访问本机： ufw allow from /8ufw allow from /12ufw allow from /16最后一条经过测试，范围大约是25。2.4 网络应用程序集成管理 ufw能从 /etc/ufw/applications.d. 中读取网络应用程序的配置清单。你可以使用命令查看： ufw app list大家可以使用网络应用程序名字来增加规则。比如 ufw allow ufw allow CUPS ufw allow from /16 to any app 注意，端口号已经被程序名所对应的策略所包括，不要再重新列举端口号。查看程序名所对应的配置策略内容，命令： ufw app into 注意：程序名字是清单上有的才行。程序名字改用用all，可以看全部策略。如果你编辑或者增加了程序清单，你可使用此命令更新防火墙： ufw app update 程序名字改用用all，则更新整个清单。更新清单同时增加规则可以使用如下命令： ufw app update -add-new 注意：update -add-new参数的行为由此命令配置： ufw app default skip|allow|deny 默认是skip，也就是没有设定。警告：如果程序规则设定为default allow ，将会引起很大的风险。请三思而后行！ 3 实验：熟悉ufw的基本应用，输入下列实例，随时用status查看ufw的配置状态UFW 使用范例：允许ufwsudo ufw enable 允许 53 端口 $ sudo ufw allow 53禁用 53 端口 $ sudo ufw delete allow 53允许 80 端口$ sudo ufw allow 80/tcp禁用 80 端口 $ sudo ufw delete allow 80/tcp允许 smtp 端口$ sudo ufw allow smtp删除 smtp 端口的许可$ sudo ufw delete allow smtp允许某特定 IP$ sudo ufw allow from 54删除上面的规则$ sudo ufw delete allow from 54允许某范围IP$sudo ufw allow from /16用iptables -L和ufw status查看防火墙的状态重启查看ufw的配置发现会自动保存和提取，不像iptables在ubuntu中默认要手动保存和提取配置实际使用实例：配置web服务器，只允许ssh（本地访问例如网段）和http能访问sudo ufw allow in httpsudo ufw allow log from /24 port sshsudo ufw limit ss