UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具。ufw 是对 iptables 的封装,iptables 的规则太过于复杂,不适合新手。这篇文章也是如何增强VPS安全性的扩展篇,在修改了SSH端口,登录用户之后,最好清楚自己开放了VPS的哪些端口访问,把他们用 ufw 管理起来,防止被滥用。

安装

Ubuntu 默认已经安装如果没有安装,使用一行命令即可:

sudo apt update && sudo apt install ufw

配置及使用

默认情况下,ufw 的配置文件在 /etc/default/ufw ,然后用户定义的防火墙规则文件会存在 /etc/ufw/*.rules/lib/ufw/*.rules

UFW 默认允许所哟出站连接,拒绝所有入站连接

sudo ufw default deny incoming
sudo ufw default allow outgoing

允许管理IPv6

sudo vim /etc/defaulf/ufw

然后修改

IPV6=yes

允许SSH连接

sudo ufw allow ssh
# 等价于
sudo ufw allow 22

如果修改了SSH连接端口,记住相应的允许端口连接。

允许HTTP/HTTPS

sudo ufw allow http
# 等价于
sudo ufw allow 80

sudo ufw allow https
sudo ufw allow 443

默认情况下 ufw allow 不加 in 是指允许入站连接,如果要允许出站,加上 out

sudo ufw allow in port
sudo ufw allow out port

允许指定端口的协议

sudo ufw allow ftp
# 等价于
sudo ufw allow 21/tcp

允许指定范围的端口连接和协议

sudo ufw allow 6000:6005/tcp
sudo ufw allow 7000:7005/udp

允许指定的IP连接

默认情况下相应的端口允许所有IP连接,通过from指定允许某IP的连接

sudo ufw allow from 123.45.67.89
sudo ufw allow from 123.45.67.89 to any port 22

如果要允许子网的连接

sudo ufw allow from 15.15.15.0/24
sudo ufw allow from 15.15.15.0/24 to any port 22

拒绝连接

和允许连接一样,只要将相应的allow换成 deny 即可

删除规则

首先查看当前的规则,并且打印出规则号

sudo ufw status numbered

每条规则前都有一个序号

sudo ufw delete [number]

也可以通过协议删除

sudo ufw delete allow http
# 等价于
sudo ufw delete allow 80

查看UFW状态

sudo ufw status verbose
sudo ufw show added

启用禁用UFW

sudo ufw enable
sudo ufw disable

ufw 默认会开机启动,如果没有,手动设置

sudo systemctl start ufw
sudo systemctl enable ufw

启用日志

sudo ufw logging on
sudo ufw logging off
sudo ufw logging low|medium|high    # 指定日志级别 日志文件在 /var/log/ufw.log

日志的格式

其中前面列出了主机防火墙日志的日期、时间、主机名,后面的内容意思是:

[UFW BLOCK]:表示事件描述的开始以及是何种事件。在此例中,它表示阻止了连接。 IN:如果它包含一个值,那么代表该事件是传入事件 OUT:如果它包含一个值,那么代表事件是传出事件 MAC:目的地和源 MAC 地址的组合 SRC:IP数据包的源IP DST:目的地的IP LEN:数据包长度 TTL:数据 TTL,或称为time to live。 PROTO:数据包的协议 SPT:数据包的源端口 DPT:目标端口 WINDOW:发送方可以接收的数据包的大小 SYN URGP:指示是否需要三次握手。 0 表示不需要。

重置防火墙

这条命令将禁用 ufw,并删除所有定义的规则

sudo ufw reset

默认情况下, ufw 会备份规则。