如何在 Ubuntu 20.04 上使用 UFW 设置防火墙

笔记首页 >> 教程系列 >> 如何在 Ubuntu 20.04 上使用 UFW 设置防火墙

如何在 Ubuntu 20.04 上使用 UFW 设置防火墙

介绍

UFW 或 Uncomplicated Firewall，是一种简化的防火墙管理界面，它隐藏了较低级别的包过滤技术（如iptables和）的复杂性nftables。如果您想开始保护您的网络，并且不确定要使用哪种工具，UFW 可能是您的正确选择。

本教程将向您展示如何在 Ubuntu 20.04 上使用 UFW 设置防火墙。

先决条件

要学习本教程，您需要：

一台具有 sudo 非 root 用户的 Ubuntu 20.04 服务器，您可以按照我们的Ubuntu 20.04 初始服务器设置教程进行设置。

UFW 默认安装在 Ubuntu 上。如果由于某种原因已被卸载，您可以使用sudo apt install ufw.

第 1 步 – 将 IPv6 与 UFW 结合使用（可选）

本教程是在考虑 IPv4 的情况下编写的，但只要您启用它，它也适用于 IPv6。如果您的 Ubuntu 服务器启用了 IPv6，请确保将 UFW 配置为支持 IPv6，以便除了 IPv4 之外，它还将管理 IPv6 的防火墙规则。为此，请使用nano您喜欢的编辑器打开 UFW 配置。

sudo nano /etc/default/ufw

然后确保值IPV6IS yes。它应该是这样的：

/etc/default/ufw 摘录

IPV6=yes

保存并关闭文件。现在，当启用 UFW 时，它将被配置为写入 IPv4 和 IPv6 防火墙规则。但是，在启用 UFW 之前，我们需要确保您的防火墙配置为允许您通过 SSH 进行连接。让我们从设置默认策略开始。

步骤 2 — 设置默认策略

如果您刚刚开始使用防火墙，首先要定义的规则是您的默认策略。这些规则控制如何处理未明确匹配任何其他规则的流量。默认情况下，UFW 设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图访问您的服务器的人都无法连接，而服务器内的任何应用程序都可以访问外部世界。

让我们将您的 UFW 规则设置回默认值，以便我们确保您能够按照本教程进行操作。要设置 UFW 使用的默认值，请使用以下命令：

sudo ufw default deny incoming
sudo ufw default allow outgoing

这些命令将默认设置为拒绝传入和允许传出连接。对于个人计算机而言，仅这些防火墙默认设置就足够了，但服务器通常需要响应来自外部用户的传入请求。我们接下来会研究这个。

第 3 步 – 允许 SSH 连接

如果我们现在启用 UFW 防火墙，它将拒绝所有传入连接。这意味着如果我们希望我们的服务器响应这些类型的请求，我们将需要创建明确允许合法传入连接（例如 SSH 或 HTTP 连接）的规则。如果您使用的是云服务器，您可能希望允许传入的 SSH 连接，以便您可以连接和管理您的服务器。

要将您的服务器配置为允许传入的 SSH 连接，您可以使用以下命令：

sudo ufw allow ssh

这将创建防火墙规则，允许端口上的所有连接22，这是 SSH 守护程序默认侦听的端口。UFW 知道端口的allow ssh含义，因为它在/etc/services文件中被列为服务。

但是，我们实际上可以通过指定端口而不是服务名称来编写等效规则。例如，此命令与上述命令的工作方式相同：

sudo ufw allow 22

如果您将 SSH 守护程序配置为使用不同的端口，则必须指定适当的端口。例如，如果您的 SSH 服务器正在侦听 port 2222，您可以使用此命令来允许该端口上的连接：

sudo ufw allow 2222

现在您的防火墙已配置为允许传入 SSH 连接，我们可以启用它。

第 4 步 – 启用 UFW

要启用 UFW，请使用以下命令：

sudo ufw enable

您将收到一条警告，指出该命令可能会中断现有的 SSH 连接。我们已经设置了允许 SSH 连接的防火墙规则，所以应该可以继续。响应提示y并点击ENTER。

防火墙现在处于活动状态。运行该sudo ufw status verbose命令以查看设置的规则。本教程的其余部分将更详细地介绍如何使用 UFW，例如允许或拒绝不同类型的连接。

步骤 5 — 允许其他连接

此时，您应该允许服务器需要响应的所有其他连接。您应该允许的连接取决于您的特定需求。幸运的是，您已经知道如何编写允许基于服务名称或端口的连接的规则；我们已经在端口上为 SSH 做了这个22。您也可以为：

端口 80 上的 HTTP，这是未加密的 Web 服务器使用的，使用sudo ufw allow http或sudo ufw allow 80
端口 443 上的 HTTPS，这是加密的 Web 服务器使用的，使用sudo ufw allow https或sudo ufw allow 443

除了指定端口或已知服务之外，还有其他几种方法可以允许其他连接。

特定端口范围

您可以使用 UFW 指定端口范围。某些应用程序使用多个端口，而不是单个端口。

例如，要允许使用端口6000– 的X11 连接6007，请使用以下命令：

sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

使用 UFW 指定端口范围时，您必须指定规则应适用的协议（tcp或udp）。我们之前没有提到这一点，因为不指定协议会自动允许两种协议，这在大多数情况下是可以的。

特定 IP 地址

使用 UFW 时，您还可以指定 IP 地址。例如，如果要允许来自特定 IP 地址的连接，例如的工作或家庭 IP 地址，则203.0.113.4需要指定from，然后 IP 地址：

sudo ufw allow from 203.0.113.4

您还可以通过添加to any port后跟端口号来指定允许 IP 地址连接的特定端口。例如，如果要允许203.0.113.4连接到端口22(SSH)，请使用以下命令：

sudo ufw allow from 203.0.113.4 to any port 22

子网

如果要允许 IP 地址子网，可以使用 CIDR 表示法指定网络掩码。例如，如果您想允许范围从203.0.113.1到的所有 IP 地址，203.0.113.254您可以使用以下命令：

sudo ufw allow from 203.0.113.0/24

同样，您也可以指定203.0.113.0/24允许子网连接的目标端口。同样，我们将使用端口22(SSH) 作为示例：

sudo ufw allow from 203.0.113.0/24 to any port 22

与特定网络接口的连接

如果您想创建仅适用于特定网络接口的防火墙规则，您可以通过指定“allow in on”后跟网络接口名称来实现。

在继续之前，您可能需要查找网络接口。为此，请使用以下命令：

ip addr

Output Excerpt
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
. . .
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
. . .

突出显示的输出指示网络接口名称。它们通常被命名为类似eth0或enp3s2。

因此，如果您的服务器有一个名为的公共网络接口eth0，您可以80使用以下命令允许 HTTP 流量（端口）到它：

sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器接收来自公共互联网的 HTTP 请求。

或者，如果您希望 MySQL 数据库服务器（端口3306）侦听专用网络接口上的连接eth1，例如，您可以使用以下命令：

sudo ufw allow in on eth1 to any port 3306

这将允许您专用网络上的其他服务器连接到您的 MySQL 数据库。

第 6 步 – 拒绝连接

如果您尚未更改传入连接的默认策略，UFW 将配置为拒绝所有传入连接。通常，这会要求您创建明确允许特定端口和 IP 地址通过的规则，从而简化了创建安全防火墙策略的过程。

但是，有时您会希望根据源 IP 地址或子网拒绝特定连接，这可能是因为您知道您的服务器正在从那里受到攻击。此外，如果您想将默认传入策略更改为允许（不推荐），您需要为您不想允许连接的任何服务或 IP 地址创建拒绝规则。

要编写拒绝规则，您可以使用上述命令，将allow替换为deny。

例如，要拒绝 HTTP 连接，您可以使用以下命令：

sudo ufw deny http

或者，如果您想拒绝所有连接，203.0.113.4可以使用以下命令：

sudo ufw deny from 203.0.113.4

现在我们来看看如何删除规则。

步骤 7 — 删除规则

了解如何删除防火墙规则与了解如何创建防火墙规则同样重要。有两种不同的方法可以指定要删除的规则：通过规则编号或通过实际规则（类似于创建规则时指定规则的方式）。我们将从按规则编号删除方法开始，因为它更容易。

按规则编号

如果您使用规则编号来删除防火墙规则，您要做的第一件事就是获取您的防火墙规则列表。UFW status 命令有一个选项可以在每个规则旁边显示数字，如下所示：

sudo ufw status numbered

Numbered Output:
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

如果我们决定要删除规则 2，即允许端口 80 (HTTP) 连接的规则，我们可以在 UFW delete 命令中指定它，如下所示：

sudo ufw delete 2

这将显示确认提示，然后删除允许 HTTP 连接的规则 2。请注意，如果您启用了 IPv6，您还需要删除相应的 IPv6 规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。例如，如果你想删除allow http规则，你可以这样写：

sudo ufw delete allow http

您还可以通过allow 80，而不是通过服务名称指定规则：

sudo ufw delete allow 80

此方法将删除 IPv4 和 IPv6 规则（如果存在）。

步骤 8 — 检查 UFW 状态和规则

您可以随时使用以下命令检查 UFW 的状态：

sudo ufw status verbose

如果 UFW 被禁用（默认情况下），您将看到如下内容：

OutputStatus: inactive

如果 UFW 处于活动状态（如果您按照第 3 步进行操作，则应该处于活动状态），输出将显示它处于活动状态，并会列出设置的所有规则。例如，如果防火墙设置为允许22来自任何地方的SSH（端口）连接，输出可能如下所示：

Output
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere

status如果要检查 UFW 如何配置防火墙，请使用该命令。

步骤 9 — 禁用或重置 UFW（可选）

如果您决定不想使用 UFW，可以使用以下命令禁用它：

sudo ufw disable

您使用 UFW 创建的任何规则都将不再有效。sudo ufw enable如果您以后需要激活它，您可以随时运行。

如果您已经配置了 UFW 规则但您决定要重新开始，则可以使用 reset 命令：

sudo ufw reset

这将禁用 UFW 并删除以前定义的任何规则。请记住，默认策略不会更改为其原始设置，如果您在任何时候修改它们。这应该会让您对 UFW 有一个全新的开始。

结论

您的防火墙现在配置为允许（至少）SSH 连接。确保允许您的服务器需要的任何其他传入连接，同时限制任何不必要的连接，以便您的服务器正常运行且安全。

要了解更常见的 UFW 配置，请查看UFW 要点：常见防火墙规则和命令教程。

觉得文章有用？

点个广告表达一下你的爱意吧！