codecamp

GNU/Linux 简易的防火墙 : UFW & GUFW

从 2008 年开始 Ubuntu 8.04 LTS 多了个简单的防火墙「UFW (Uncomplicated Firewall)」,它简化了 iptable 复杂的指令及参数,让人们能快速上手,之后更出现了图形界面的 GUFW (甚至连指令都免了)。原先为了 Ubuntu 而诞生的 UFW 现在也成功移植到基于 Debian 发展的 GNU/Linux (ezgo, Linux Mint) 以及 Arch Linux

UFW

若系统尚未预载 UFW,请手动安装。

# Debian, Ubuntu
$ sudo aptitude install ufw 

# Arch Linux
$ sudo pacman -S ufw

基础操作

状态查询,预设为闲置 (inactive)。

$ sudo ufw status
Status: inactive

启动 UFW 服务 (enable)。

$ sudo ufw enable

预设 (default) 全部阻挡 (deny)。

$ sudo ufw default deny

允许 (allow) 所有的 ssh 埠口连线。

$ sudo ufw allow ssh

允许来自 127.0.0.1 (本机) 的 3389 埠口连线 (xrdp)。

$ sudo ufw allow from 127.0.0.1 to any port 3389

状态查询,已成功启动 (active) 并加入自定规则。

$ sudo ufw status
Status: active

To            Action    From
--            ------    ----
22            ALLOW     Anywhere
3389        ALLOW     127.0.0.1

进阶使用

允许来自 192.168.1.2 上所有连线。

$ sudo ufw allow from 192.168.1.2

允许来自 192.168.2.1 ~ 192.168.2.254 的所有 22 埠口连线。

$ sudo ufw allow from 192.168.2.1/24 to any port 22

阻挡来自 110.88.4.5 的 22 埠口连线。

$ sudo ufw deny from 110.88.4.5 to any port 22

阻挡来自 27.16.3.1 ~ 27.16.3.254 的所有连线。

$ sudo ufw deny from 27.16.3.0/24

GUFW

图形界面的 GUFW 必须手动安装,但不建议纯文字环境的 GNU/Linux 安装,它会与一些桌面环境 (Desktop Environment) 的套件产生相依性,例如 gir1.2-gtk-3.0, notify-osd ... 等。

# Debian, Ubuntu
$ sudo aptitude install gufw 

# Arch Linux
$ sudo pacman -S gufw

图形操作

开启 GUFW:

请于应用程序 (Application) -> 系统 (System) -> 管理 (Administration) -> 防火墙设定 (Firewall configuration)开启;或直接于终端机输入指令开启。

$ gufw

2013-09-24-gufw-01.png

▲ 使用前得先用管理者账号解锁 (Unlock)。

2013-09-24-gufw-02.png

▲ 输入密码。

2013-09-24-gufw-03.png

▲ 解锁后可看到先前自定的规则,以下为新增规则之范例。

2013-09-24-gufw-04.png

▲ 可依应用程序自定规则。

2013-09-24-gufw-05.png

▲ 也可自行输入埠口。

2013-09-24-gufw-06.png

▲ 进阶设定里则可依范围自定规则。

看完此文后,相信大家都能帮 GNU/Linux 加上一道防护,但 ufw 这面防护罩只适合简易、单纯的环境,若有 NAT 或更进阶的使用还请改用 iptable。

资料来源


GNU/Linux 安装驱动程序
GNU/Linux 电源管理 : PowerTOP
温馨提示
下载编程狮App,免费阅读超1000+编程语言教程
取消
确定
目录

关闭

MIP.setData({ 'pageTheme' : getCookie('pageTheme') || {'day':true, 'night':false}, 'pageFontSize' : getCookie('pageFontSize') || 20 }); MIP.watch('pageTheme', function(newValue){ setCookie('pageTheme', JSON.stringify(newValue)) }); MIP.watch('pageFontSize', function(newValue){ setCookie('pageFontSize', newValue) }); function setCookie(name, value){ var days = 1; var exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + '=' + value + ';expires=' + exp.toUTCString(); } function getCookie(name){ var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); return document.cookie.match(reg) ? JSON.parse(document.cookie.match(reg)[2]) : null; }