如何在Debian 10上使用UFW设置防火墙
先决条件:
要学习本教程,您需要一台带有sudo非root用户的Debian 10服务器,您可以按照Debian 10初始服务器设置教程中的第1步-3进行设置 。
第1步 – 安装UFW
Debian默认不安装UFW。 如果您遵循整个初始服务器安装教程 ,则您将安装并启用UFW。 如果没有,请使用apt立即安装:
sudo apt install ufw
我们将设置UFW并按以下步骤启用它。
第2步 – 将IPv6与UFW一起使用(可选)
本教程是以IPv4编写的,但只要您启用它就适用于IPv6。 如果您的Debian服务器启用了IPv6,您需要确保将UFW配置为支持IPv6; 这将确保UFW除了IPv4之外还将管理IPv6的防火墙规则。 要配置它,请使用nano或您喜欢的编辑器打开UFW配置文件/etc/default/ufw :
sudo nano /etc/default/ufw
然后确保IPV6值为yes 。 它应该如下所示:
/ etc / default / ufw摘录
IPV6=yes
保存并关闭文件。 现在,当启用UFW时,它将配置为同时写入IPv4和IPv6防火墙规则。 但是,在启用UFW之前,您需要确保将防火墙配置为允许您通过SSH进行连接。 让我们从设置默认策略开始。
第3步 – 设置默认策略
如果您刚开始使用防火墙,则要定义的第一个规则是您的默认策略。 这些规则处理未明确匹配任何其他规则的流量。默认情况下,UFW设置为拒绝所有传入连接并允许所有传出连接。 这意味着任何尝试访问您服务器的人都无法连接,而服务器中的任何应用程序都可以访问外部世界。
让我们将您的UFW规则设置回默认值,以便我们确保您能够按照本教程进行操作。 要设置UFW使用的默认值,请使用以下命令:
sudo ufw default deny incoming
sudo ufw default allow outgoing
这些命令将默认值设置为拒绝传入并允许传出连接。 仅这些防火墙默认值可能足以用于个人计算机,但服务器通常需要响应来自外部用户的传入请求。 我们接下来会调查一下。
第4步 – 允许SSH连接
如果我们现在启用了我们的ufw防火墙,它将拒绝所有传入的连接。 这意味着,如果我们希望服务器响应这些类型的请求,我们将需要创建明确允许合法传入连接的规则 – 例如SSH或HTTP连接。 如果您使用的是云服务器,则可能需要允许传入的SSH连接,以便连接和管理服务器。
要将服务器配置为允许传入SSH连接,可以使用以下命令:
sudo ufw allow ssh
这将创建防火墙规则,允许端口22上的所有连接,这是SSH守护程序默认监听的端口。 UFW知道什么端口allow ssh意思,因为它在/etc/services文件中列为/etc/services 。
但是,我们实际上可以通过指定端口而不是服务名来编写等效规则。 例如,此命令产生与上面相同的结果:
sudo ufw allow 22
如果将SSH守护程序配置为使用其他端口,则必须指定相应的端口。 例如,如果SSH服务器正在监听端口2222 ,则可以使用此命令允许该端口上的连接:
sudo ufw allow 2222
现在您的防火墙已配置为允许传入SSH连接,您可以启用它。
第5步 – 启用UFW
要启用UFW,请使用以下命令:
sudo ufw enable
您将收到一条警告,指出该命令可能会破坏现有的SSH连接。 我们已经设置了允许SSH连接的防火墙规则,因此可以继续。 用y回应提示ENTER 。
防火墙现在处于活动状态。 运行sudo ufw status verbose命令以查看已设置的规则。 本教程的其余部分将介绍如何更详细地使用UFW,包括允许和拒绝不同类型的连接。
第6步 – 允许其他连接
此时,您应该允许服务器需要的所有其他连接正常运行。 您应该允许的连接取决于您的特定需求。 幸运的是,您已经知道如何编写允许基于服务名称或端口的连接的规则; 我们已经在端口22上为SSH做了这个。 你也可以这样做:
端口80上的HTTP,这是未加密的Web服务器使用的。 要允许此类流量,您可以键入sudo ufw allow http或sudo ufw allow 80 。
端口443上的HTTPS,这是加密的Web服务器使用的。 要允许此类流量,您可以键入sudo ufw allow https或sudo ufw allow 443 。
但是,除了指定端口或已知服务之外,还有其他方法可以允许连接。 我们将讨论下一步。
特定端口范围
您可以使用UFW指定端口范围。 例如,某些应用程序使用多个端口而不是单个端口。
例如,要允许使用端口6000 – 6007 X11连接,请使用以下命令:
sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp
使用UFW指定端口范围时,必须指定规则应适用的协议( tcp或udp )。 我们之前没有提到这一点,因为没有指定协议会自动允许两种协议,这在大多数情况下都可以。
特定的IP地址
使用UFW时,您还可以指定IP地址。 例如,如果要允许来自特定IP地址的连接(例如工作或家庭IP地址203.0.113.4,则需要指定IP地址,然后指定IP地址:
sudo ufw allow from 203.0.113.4
您还可以通过添加to any port后跟端口号to any port指定允许IP地址连接的特定端口。 例如,如果要允许203.0.113.4连接到端口22 (SSH),请使用以下命令:
sudo ufw allow from 203.0.113.4 to any port 22
子网
如果要允许IP地址子网,可以使用CIDR表示法指定网络掩码。 例如,如果要允许所有IP地址范围从203.0.113.1到203.0.113.254 ,则可以使用此命令:
sudo ufw allow from 203.0.113.0/24
同样,您也可以指定允许子网203.0.113.0/24连接的目标端口。 同样,我们将使用端口22 (SSH)作为示例:
sudo ufw allow from 203.0.113.0/24 to any port 22
与特定网络接口的连接
如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定allow in on ,然后指定网络接口的名称来执行此操作。
您可能希望在继续之前查找网络接口。 为此,请使用以下命令:
ip addr
Output2: eth0: mtu 1500 qdisc pfifo_fast state
. . .
3: eth1: mtu 1500 qdisc noop state DOWN group default
. . .
突出显示的输出表示网络接口名称。 它们通常被命名为eth0或enp3s2 。
例如,如果您的服务器具有名为eth0的公共网络接口,则可以使用以下命令允许HTTP流量:
sudo ufw allow in on eth0 to any port 80
这样做将允许您的服务器从公共互联网接收HTTP请求。
或者,如果您希望MySQL数据库服务器(端口3306 )监听专用网络接口eth1上的连接,则可以使用以下命令:
sudo ufw allow in on eth1 to any port 3306
这将允许专用网络上的其他服务器连接到MySQL数据库。
第7步 – 拒绝连接
如果尚未更改传入连接的默认策略,则UFW配置为拒绝所有传入连接。 通常,这会通过要求您创建明确允许特定端口和IP地址的规则来简化创建安全防火墙策略的过程。
有时您会想要根据源IP地址或子网拒绝特定连接,但是,可能是因为您知道您的服务器正在受到攻击。 此外,如果要将默认传入策略更改为允许 (不建议这样做),则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。
要编写拒绝规则,您可以使用上述命令,将allow替换为deny 。
例如,要拒绝HTTP连接,可以使用以下命令:
sudo ufw deny http