如何在Ubuntu 14.04上使用UFW设置防火墙

介绍

UFW或简单防火墙是iptables的一个接口，旨在简化配置防火墙的过程。虽然iptables是一个可靠而灵活的工具，但初学者很难学会如何使用它来正确配置防火墙。如果您希望开始保护网络，并且您不确定使用哪种工具，UFW可能是您的正确选择。

本教程将向您展示如何在Ubuntu 14.04上使用UFW设置防火墙。

准备

在开始使用本教程之前，您应该有一个单独的非root超级用户帐户 - 在Ubuntu服务器上设置了sudo权限的用户。您可以通过在Linux系统下给非root用户添加sudo权限了解如何执行此操作。没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。

UFW默认安装在Ubuntu上。如果由于某种原因已卸载它，您可以使用apt-get命令安装它：

sudo apt-get install ufw

将IPv6与UFW配合使用

如果您的Ubuntu服务器已启用IPv6，请确保将UFW配置为支持IPv6，以便除IPv4之外还管理IPv6的防火墙规则。要执行此操作，请使用您喜欢的编辑器打开UFW配置。我们将使用nano：

sudo nano /etc/default/ufw

然后确保“IPV6”的值为“yes”。它应该如下所示：

...
IPV6=yes
...

保存并退出。点击Ctrl-X退出文件，然后Y保存您所做的更改，然后ENTER确认文件名。

启用UFW后，它将配置为同时写入IPv4和IPv6防火墙规则。

本教程是以IPv4编写的，但只要启用它就可以正常使用IPv6。

检查UFW状态和规则

您可以随时使用以下命令检查UFW的状态：

sudo ufw status verbose

默认情况下，UFW已禁用，因此您应该看到如下内容：

Status: inactive

如果UFW处于活动状态，则输出将表明它处于活动状态，并且它将列出所有已设置的规则。例如，如果防火墙设置为允许来自任何地方的SSH（端口22）连接，则输出可能如下所示：

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
​
To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere

因此，如果您需要检查UFW如何配置防火墙，请使用status命令。

在启用UFW之前，我们需要确保将防火墙配置为允许您通过SSH进行连接。让我们从设置默认策略开始。

设置默认策略

如果您刚刚开始使用防火墙，则要定义的第一个规则是您的默认策略。这些规则控制如何处理未明确匹配任何其他规则的流量。默认情况下，UFW设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图访问您的云服务器的人都无法连接，而服务器中的任何应用程序都可以访问外部世界。

让我们将您的UFW规则设置回默认值，以便我们确保您能够按照本教程进行操作。要设置UFW使用的默认值，请使用以下命令：

sudo ufw default deny incoming
sudo ufw default allow outgoing

您可能已经猜到，这些命令将默认值设置为拒绝传入并允许传出连接。这些防火墙默认值本身可能足以满足个人计算机的要求，但服务器通常需要响应来自外部用户的传入请求。我们接下来会调查一下。

允许SSH连接

如果我们现在启用了我们的UFW防火墙，它将拒绝所有传入的连接。这意味着我们需要创建明确允许合法传入连接的规则 - 例如SSH或HTTP连接 - 如果我们希望服务器响应这些类型的请求。如果您使用的是云服务器，则可能需要允许传入的SSH连接，以便连接和管理服务器。

要将服务器配置为允许传入SSH连接，可以使用此UFW命令：

sudo ufw allow ssh

这将创建防火墙规则，允许端口22上的所有连接，这是SSH守护程序侦听的端口。UFW知道什么是“ssh”，以及一堆其他服务名称，意味着因为它被列为在/etc/services文件中使用端口22的服务。

我们实际上可以通过指定端口而不是服务名来编写等效规则。例如，此命令与上面的命令相同：

sudo ufw allow 22

如果将SSH守护程序配置为使用其他端口，则必须指定相应的端口。例如，如果SSH服务器正在侦听端口2222，则可以使用此命令允许该端口上的连接：

sudo ufw allow 2222

现在您的防火墙已配置为允许传入SSH连接，我们可以启用它。

启用UFW

要启用UFW，请使用以下命令：

sudo ufw enable

您将收到一条警告，指出“命令可能会破坏现有的ssh连接”。我们已经设置了允许SSH连接的防火墙规则，因此可以继续使用。回复提示y。

防火墙现在处于活动状态。随意运行sudo ufw status verbose命令以查看已设置的规则。

允许其他连接

现在，您应该允许服务器需要响应的所有其他连接。您应该允许的连接取决于您的特定需求。幸运的是，您已经知道如何编写允许基于服务名称或端口的连接的规则 - 我们已经在端口22上为SSH做了这个。

我们将展示您可能需要允许的一些非常常见的服务示例。如果您有其他任何要允许所有传入连接的服务，请遵循以下格式。

HTTP端口80

使用此命令可以允许HTTP连接，即未加密的Web服务器使用的连接：

sudo ufw allow http

如果您更愿意使用端口号80，请使用以下命令：

sudo ufw allow 80

HTTPS端口443

可以使用以下命令允许HTTPS连接（加密Web服务器使用的连接）：

sudo ufw allow https

如果您更愿意使用端口号443，请使用以下命令：

sudo ufw allow 443

FTP端口21

FTP连接，用于未加密的文件传输（您可能不应该使用它），可以使用此命令：

sudo ufw allow ftp

如果您更愿意使用端口号21，请使用以下命令：

sudo ufw allow 21/tcp

允许特定端口范围

您可以使用UFW指定端口范围。某些应用程序使用多个端口，而不是单个端口。

例如，要允许使用端口6000-6007的X11连接，请使用以下命令：

sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

使用UFW指定端口范围时，必须指定规则应适用的协议（tcp或udp）。我们之前没有提到这一点，因为没有指定协议只允许两种协议，这在大多数情况下都可以。

允许特定IP地址

使用UFW时，您还可以指定IP地址。例如，如果要允许来自特定IP地址的连接，例如工作或家庭IP地址15.15.15.51，则需要指定“from”，然后指定IP地址：

sudo ufw allow from 15.15.15.51

您还可以通过添加“到任意端口”后跟端口号来指定允许IP地址连接的特定端口。例如，如果要允许15.15.15.51连接到端口22（SSH），请使用以下命令：

sudo ufw allow from 15.15.15.51 to any port 22

允许子网

如果要允许IP地址子网，可以使用CIDR表示法指定网络掩码。例如，如果你想允许从15.15.15.1到15.15.15.254的所有IP地址范围，你可以使用这个命令：

sudo ufw allow from 15.15.15.0/24

同样，您也可以指定15.15.15.0/24允许子网连接的目标端口。同样，我们将使用端口22（SSH）作为示例：

sudo ufw allow from 15.15.15.0/24 to any port 22

允许连接到特定网络接口

如果要创建仅适用于特定网络接口的防火墙规则，可以通过指定“允许接通”，然后指定网络接口的名称来执行此操作。

您可能希望在继续之前查找网络接口。为此，请使用以下命令：

ip addr

输出如下：

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
...
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default 
...

网络接口名称通常被命名为“eth0”或“eth1”。

因此，如果您的服务器调用了公共网络接口eth0，则可以使用以下命令允许HTTP流量（端口80）：

sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器从公共Internet接收HTTP请求。

或者，如果您希望MySQL数据库服务器（端口3306）侦听专用网络接口上的连接eth1，例如，您可以使用此命令：

sudo ufw allow in on eth1 to any port 3306

这将允许专用网络上的其他服务器连接到MySQL数据库。

否认连接

如果尚未更改传入连接的默认策略，则UFW配置为拒绝所有传入连接。通常，这会通过要求您创建明确允许特定端口和IP地址的规则来简化创建安全防火墙策略的过程。但是，有时您会希望根据源IP地址或子网拒绝特定连接，可能是因为您知道您的服务器正在受到攻击。此外，如果要将默认传入策略更改为允许（出于安全考虑而不建议这样做），则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。

要编写拒绝规则，您可以使用我们上面描述的命令，除非您需要将“allow”替换为“deny”。

例如，要拒绝HTTP连接，您可以使用以下命令：

sudo ufw deny http

或者，如果要拒绝来自15.15.15.51您的所有连接，可以使用以下命令：

sudo ufw deny from 15.15.15.51

如果您在编写任何其他拒绝规则时需要帮助，请查看先前的允许规则并相应地更新它们。

现在让我们来看看如何删除规则。

删除规则

了解如何删除防火墙规则与了解如何创建防火墙规则同样重要。有两种不同的方式可以指定要删除的规则：按规则编号或实际规则（类似于创建规则时指定的规则）。我们将从规则编号方法删除开始，因为与写入要删除的实际规则相比，如果您是UFW新手，则更容易。

按规则编号

如果您使用规则编号删除防火墙规则，那么您要做的第一件事就是获取防火墙规则列表。UFW status命令可以选择显示每个规则旁边的数字，如下所示：

sudo ufw status numbered
Numbered Output:Status: active
​
     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

如果我们决定要删除允许端口80（HTTP）连接的规则2，我们可以在UFW删除命令中指定它，如下所示：

sudo ufw delete 2

这将显示确认提示，然后删除规则2，允许HTTP连接。请注意，如果启用了IPv6，则还需要删除相应的IPv6规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。例如，如果要删除“allow http”规则，可以这样写：

sudo ufw delete allow http

您还可以通过“允许80”而不是服务名称来指定规则：

sudo ufw delete allow 80

此方法将删除IPv4和IPv6规则（如果存在）。

如何禁用UFW（可选）

如果您因任何原因决定不想使用UFW，可以使用以下命令禁用它：

sudo ufw disable

您使用UFW创建的任何规则将不再处于活动状态。如果以后需要激活，可以随时运行sudo ufw enable。

重置UFW规则（可选）

如果您已经配置了UFW规则但是您决定要重新开始，则可以使用reset命令：

sudo ufw reset

这将禁用UFW并删除先前定义的任何规则。请注意，如果您在任何时候修改了默认策略，默认策略都不会更改为原始设置。这应该会让你重新开始使用UFW。

结论

您的防火墙现在应配置为允许（至少）SSH连接。确保允许服务器的任何其他传入连接，同时限制任何不必要的连接，以使您的服务器功能安全。

想要了解更多关于Ubuntu开源信息教程，请前往腾讯云+社区学习更多知识。

参考文献：《How To Set Up a Firewall with UFW on Ubuntu 14.04》