1ufw简介
UFW,即简单防火墙,是的接口,旨在简化防火墙的配置过程。 尽管是可靠且灵活的工具,但对于初学者而言,可能很难学习如何使用它来正确配置防火墙。 如果您希望开始保护网络安全并且不确定使用哪种工具,UFW可能是您的正确选择。
2先决条件
要遵循本教程,您将需要一台具有非root用户的Debian 10服务器。
2.1设置非root用户获得root权限
1修改 文件权限 执行以下操作
假设你的用户名是“yunmuyao”。你可以在sudoers文件中加上一下两行的任意一行
yunmuyao ALL=(ALL:ALL) ALL
yunmuyao ALL=(ALL:ALL) NOPASSWD:ALL (出于方便,推荐使用此设置)
解释说明:
第一行:允许用户yunmuyao执行sudo命令(需要输入密码)。
第二行:允许用户yunmuyao执行sudo命令,并且在执行的时候不输入密码。
2将文件权限改回以防止误操作。执行以下操作
3验证sudo是否赋给yunmuyao
出现如下字符说明成功
3.安装ufw
3.1下载ufw
下载地址http://mirrors.163.com/debian/pool/main/u/ufw/ufw_0.33-2_all.deb3.2
下载ufw的安装包,然后用远程文件传输工具服务器上,运行sudo dpkg -i *.deb(i指的是安装包名称),这样即成功安装ufw
安装完成
4.在UFW中使用IPv6(可选)
本教程是在考虑IPv4的前提下编写的,但是只要启用它就可以在IPv6上使用。 如果您的Debian服务器已启用IPv6,则需要确保UFW已配置为支持IPv6;否则,请执行以下步骤。 这将确保UFW除了管理IPv4外,还将管理IPv6的防火墙规则。
确保值为 。
5.设置默认策略
如果您刚开始使用防火墙,则定义的第一条规则是默认策略。 这些规则处理未明确匹配任何其他规则的流量。 默认情况下,UFW设置为拒绝所有传入连接并允许所有传出连接。 这意味着尝试访问您的服务器的任何人都将无法连接,而服务器中的任何应用程序都将可以访问外部。
这些命令将默认设置设置为拒绝传入并允许传出连接。 这些防火墙默认值仅够一台个人计算机就足够了,但是服务器通常需要响应外部用户的传入请求,如果此时开始防火墙,就会中断ssh连接。 接下来,设置允许ssh连接
6.允许SSH连接
如果我们现在启用UFW防火墙,它将拒绝所有传入连接。 这意味着如果我们希望服务器响应那些类型的请求,我们将需要创建规则,以明确允许合法的传入连接(例如SSH或HTTP连接)。 如果使用的是云服务器,则可能需要允许传入的SSH连接,以便可以连接并管理服务器。
要将服务器配置为允许传入的SSH连接,可以使用以下命令:
这将创建防火墙规则,该规则将允许端口上的所有连接,端口是SSH守护程序默认监听的端口。 UFW知道意味着什么端口,因为它在文件中被列为 。
但是,我们实际上可以通过指定端口而不是服务名称来编写等效规则。 例如,此命令产生与上面相同的结果:
现在,防火墙已配置为允许传入的SSH连接,可以启用它。
7.启用UFW
要启用UFW,请使用以下命令:
您将收到一条警告,指出该命令可能会破坏现有的SSH连接。 我们已经设置了允许SSH连接的防火墙规则,因此可以继续。 用响应提示,然后按 。
该命令默认会将UFW设置为开机启动,如果发现重启后UFW并没有自动启动,可以手动设置UFW服务开机自动启
如果发现重启后UFW并没有自动启动,执行
查询发现这个服务的状态是即不是enable也不是disenable,是generated
说明Systemd只是包装了一下这个服务,可以使用systemctl status ufw查看这个服务的状态,但不能对其进行管理,管理还是需要使用 update-rc.d
如果以上操作都不能做到ufw开机自启 那么可以手动执行以下命令,直接在rc2.d中做一个符号链接想要了解update-rc.d请看该文档13标题
此时输入
此时防火墙已经正常启动 运行命令以查看您设置的规则
8.允许其他连接
此时,您应该允许服务器正常运行所需的所有其他连接。 您应允许的连接取决于您的特定需求。允许基于服务名称或端口进行连接; 我们已经在端口上针对SSH进行了此操作。 您也可以这样做:
端口上的HTTP,这是未加密的Web服务器使用的端口。 要允许这种类型的流量,您可以输入
端口上的HTTPS,这是加密的Web服务器使用的端口。 要允许这种类型的流量,您可以输入
但是,除了指定端口或已知服务之外,还有其他允许连接的方法。 接下来我们将讨论这些。
8.1特定端口范围
您可以使用UFW指定端口范围。 例如,某些应用程序使用多个端口而不是单个端口。
例如,使用端口 - ,使用这些命令:
使用UFW指定端口范围时,必须指定规则应适用的协议( 或 )。 我们之前没有提到这一点,因为未指定协议会自动允许这两种协议,这在指定单个端口情况下是可以的。
8.2特定的IP地址
使用UFW时,您还可以指定IP地址。 例如,如果要允许来自特定IP地址的连接,例如的工作或家庭IP地址, 需要指定 ,然后指定IP地址:
您还可以通过添加后跟端口号指定允许IP地址连接的特定端口。 例如,如果要允许连接到端口 (SSH),请使用以下命令:
8.3子网路
如果要允许IP地址的子网,可以使用CIDR表示法指定网络掩码。 例如,如果要允许所有IP地址从到 ,可以使用以下命令:
同样,您也可以指定允许子网连接到的目标端口。 同样,我们将使用端口 (SSH)作为示例:
8.4与特定网络接口的连接
如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定 ,然后指定网络接口的名称来实现。
您可能需要先查找网络接口,然后再继续。 为此,请使用以下命令:
突出显示的输出指示网络接口名称。 它们通常被命名为或 。
如果您的服务器具有名为的公共网络接口,则可以使用以下命令允许HTTP流量流向该服务器:
这样做将允许您的服务器从公共互联网接收HTTP请求。
或者,如果您希望您MySQL数据库服务器(端口 )侦听专用网络接口上的连接,则可以使用以下命令:
这将允许您专用网络上的其他服务器连接到MySQL数据库。s
9.拒绝连接
如果您尚未更改传入连接的默认策略,则UFW被配置为拒绝所有传入连接。 通常,这要求您创建明确允许特定端口和IP地址通过的规则,从而简化了创建安全防火墙策略的过程。
有时,您可能想基于源IP地址或子网拒绝特定的连接,也许是因为您知道服务器正受到来自那里的攻击。 另外,如果要将默认传入策略更改为允许 (不建议这样做),则需要为不想允许连接的任何服务或IP地址创建拒绝规则。
要编写拒绝规则,您可以使用上述命令,将allow替换为deny 。
例如,要拒绝HTTP连接,可以使用以下命令
或者,如果您要拒绝所有连接, 可以使用以下命令:
10.删除规则
知道如何删除防火墙规则与知道如何创建防火墙规则一样重要。 有两种方法可以指定要删除的规则:按规则编号或按规则本身。 这类似于创建规则时如何指定规则。 我们将从解释按规则编号删除方法开始。
如果您使用规则号删除防火墙规则,则要做的第一件事就是获取防火墙规则列表。 UFW 命令具有选项,该选项在每个规则旁边显示数字:
如果我们决定删除规则 (该规则允许端口上的ssh连接),则可以在以下UFW 命令中指定此规则:
10.1按实际规则
规则编号的替代方法是指定要删除的实际规则。 例如,如果要删除规则,则可以这样编写:
您还可以使用代替服务名称来指定规则:
11.检查UFW状态和规则
您可以随时使用以下命令检查UFW的状态:
12.禁用或重置UFW
如果您决定不想使用UFW,则可以使用以下命令将其禁用也就是关闭ufw:
如果已经配置了UFW规则,但是您决定要重新开始,则可以使用reset命令 也就是重置ufw规则:
至此debian的ufw防火墙安装完成
13update-rc.d开机自启详解
debian中的运行级别
- 0(关闭系统)
- 1(单用户模式,只允许root用户对系统进行维护。)
- 2 到 5(多用户模式,其中3为字符界面,5为图形界面。)
- 6(重启系统)
update-rc.d命令详解
update-rc.d是一个Perl脚本,是用来自动升级System V类型初始化脚本,简单来说就是哪些东西是你想要在系统引导初始化的时候运行的,哪些是希望在关机或重启时候停止的,你都可以用它来设置。这些脚本的链接位于/etc/rcN.d/下(N代表0~6),对应脚本位于/etc/init.d/下。
实际上,任意目录/etc/rcN.d/中的脚本都是指向/etc/init.d/的符号链接(软件链接#ln-s源文件目标文件名).然而,每个/etc/rcN.d/目录中文件的名称用来指定/etc/init.d相应脚本的运行方式.特别是,在进入任何运行级别之前,所有名称以’‘K’‘打头的脚本均被运行,这些脚本的工作是中止进程.然后,所有名称以’‘S’‘打头的脚本被运行,这些脚本的工作是启动进程.名称中跟在’‘K’‘或’‘S’'后的两位数规定了脚本运行的先后次序,数字小的脚本先运行.
1.从所有的运行级别中删除指定的启动项
2.按指定顺序、在指定运行级别中启动或关闭
设置启动项:
设置停止项:
设置启动和停止可以写在一起,例如:
实例:update-rc.d apachectl start 20 2 3 4 5 . stop 20 0 1 6 .
解析:表示在2、3、4、5这五个运行级别中,由小到大,第20个开始运行apachectl;在 0 1 6这三个运行级别中,第20个关闭apachectl。这是合并起来的写法,注意它有2个点号,效果等于下面方法:
3.A启动后B才能启动,B关闭后A才关闭
4.启动和关闭顺序为90,级别默认