防火墙是用于监控和过滤传入和传出网络流量的工具。 它通过定义一组确定是允许还是阻止特定流量的安全规则来工作。Debian 10随附了一个称为UFW的防火墙配置工具。 它是用于管理iptables防火墙规则的用户友好型前端。 它的主要目标是使防火墙的管理变得更容易,简单。本教程介绍了如何使用ufw工具在Debian 10上配置和管理防火墙。 这其中包括安装ufw,检查UFW状态,UFW默认策略说明与配置,应用服务的配置文件,启用UFW,允许指定的端口与范围,指定ip地址与网段,拒绝与允许指定的网络接口(网卡),删除ufw防火墙规则,重置与禁用ufw防火墙以及伪装ip地址。先决条件:只有root或具有sudo权限的用户可以管理系统防火墙。最佳做法是以sudo用户运行管理任务系统防火墙。
第一步:安装UFW
ufw是Debian 10标准安装的一部分,它应该已安装于您的系统中。 如果由于某种原因未安装,则可以通过键入以下apt命令来安装ufw:
apt -y update && apt install ufw [更新源并安装UFW]
第二步:检查UFW状态
UFW默认情况下处于禁用状态。 您可以使用以下命令检查UFW服务的状态:
ufw status verbose
输出将显示防火墙状态为非活动状态:
Status: inactive
如果UFW已激活,则输出将类似于以下内容:
Status: active
UFW默认策略:UFW防火墙的默认行为是阻止所有传入和转发流量,并允许所有出站流量。 这意味着除非您打开专门的端口,否则任何尝试访问您的服务器的人都将无法连接。 服务器上运行的应用程序和服务将可以访问外界。
默认策略在/etc/default/ufw文件中定义,可以通过手动修改该文件或使用sudo ufw default <policy> <chain>命令来更改。防火墙策略是建立更复杂的用户自定义规则的基础。 通常,最初的UFW默认策略是一个很好的起点。
应用配置文件
应用程序配置文件是INI格式的文本文件,描述了服务并包含该服务的防火墙规则。 在安装软件期间,会在/etc/ufw/applications.d目录中创建应用程序配置文件。您可以通过键入以下命令列出服务器上所有可用的应用程序配置文件:
sudo ufw app list
根据系统上安装的软件包,输出看起来类似于以下内容:
Available applications:
Nginx Full
Nginx HTTP
Nginx HTTPS
OpenSSH
要查找指定配置文件包含的防火墙规则详细信息,请使用以下命令:
ufw app info 'Nginx Full'
输出显示了“Nginx Full”配置文件打开了端口80和443。
Profile: Nginx Full
Title: Web Server (Nginx, HTTP + HTTPS)
Description: Small, but very powerful and efficient web server
Ports:
80,443/tcp
您也可以为应用创建自定义配置文件。
第四步:启用UFW
如果要从远程位置连接到,在启用UFW防火墙之前,必须明确允许SSH的连接。 否则,您将无法连接到计算机。要将您的UFW防火墙配置为允许SSH的连接,请键入以下命令:
ufw allow ssh
Rules updated
Rules updated (v6)
如果SSH在非标准端口上运行,则需要打开该端口。例如,如果您的ssh守护程序侦听端口7722,请输入以下命令以允许该端口上的连接:
ufw allow 7722/tcp
现在已将防火墙配置为允许SSH的连接,您可以通过键入以下命令来启用它:
ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
将警告您启用防火墙可能会破坏现有的ssh连接,只需键入y并按Enter回车。
打开端口
根据系统上运行的应用程序,您可能还需要打开其他端口。 打开端口的一般语法如下:
ufw allow port_number/protocol
以下是关于如何允许HTTP连接的几种方法。第一种选择是使用服务名称。 UFW将检查/etc/services文件中服务指定的端口和协议:
ufw allow http
您还可以指定端口号和协议:
ufw allow 80/tcp
如果未给出协议,则UFW会同时为tcp和udp创建规则。另一个选择是使用应用程序的配置文件。比如允许Nginx服务的配置文件,请键入以下命令:
ufw allow 'Nginx HTTP'
UFW还支持使用proto关键字指定协议:
ufw allow proto tcp to any port 80
端口范围
UFW还允许您打开指定的端口范围。 起始端口和结束端口用冒号(:)分隔,并且您必须指定协议tcp或udp。例如,如果要同时在tcp和udp允许来自7100到7200端口的连接,则可以运行以下命令:
ufw allow 7100:7200/tcp
允许指定的IP地址和端口
要允许来自指定源IP的所有端口上的连接,请使用from关键字,后跟源地址。以下是将IP地址列入白名单的示例:
ufw allow from 64.63.62.61
如果要仅允许指定的IP地址访问特定的端口,请使用to any port关键字,后跟端口号。例如,要允许源IP地址为64.63.62.61的计算机访问端口22,请输入:
ufw allow from 64.63.62.61 to any port 22
子网
允许IP地址子网的语法与使用单个IP地址时的语法相同。 唯一的区别是您需要指定子网掩码。
下面是一个示例,显示了如何允许从192.168.1.1到192.168.1.254的IP地址(即192.168.1.0/24网段)到MySQL端口3360的连接:
ufw allow from 192.168.1.0/24 to any port 3306
允许指定的网络接口/网卡
要允许在指定的网络接口上的连接,请使用in on关键字,后跟网络接口的名称:
ufw allow in on eth2 to any port 3306
拒绝连接
所有传入连接的默认策略均设置为deny,如果您未更改默认策略,除非您专门允许连接,否则UFW会阻止所有传入连接。
撰写拒绝规则与撰写允许规则相同。您只需要使用deny关键字而不是allow。假设您打开了端口80和443,并且服务器受到91.108.4.0/24网络的攻击。 要拒绝来自91.108.4.0/24的所有连接,您可以运行以下命令:
ufw deny from 91.108.4.0/24
以下是拒绝91.108.4.0/24访问端口80和443的示例,您可以使用以下命令:
ufw deny proto tcp from 91.108.4.0/24 to any port 80,443
删除UFW规则
有两种方法删除UFW规则,第一种是通过规则编号,第二种是指定实际规则来删除UFW规则。按规则编号删除ufw防火墙规则比较容易,尤其是您不熟悉UFW时。
如果你要通过规则编号删除规则,您需要找到要删除的规则的编号。 要获取规则编号的列表,请使用ufw status numbered命令:
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8080/tcp ALLOW IN Anywhere
假设要删除的ufw规则编号是3,该规则号允许连接到端口8080,请输入:
ufw delete 3
第二种方法是通过指定实际规则来删除规则。 例如,如果您打开了8069端口的规则,则可以使用以下命令将其删除:
ufw delete allow 8069
禁用UFW
如果出于某些原因要停止UFW并停用所有规则,则可以使用以下命令禁用防火墙:
ufw disable
以后,如果您想重新启用ufw并激活所有规则,只需键入:
ufw enable
重置UFW:重置UFW将禁用UFW,并删除所有活动规则。 如果您想还原所有更改并重新开始,这将很有帮助。要重置UFW,请输入以下命令:
ufw reset
IP伪装
IP伪装是Linux内核中NAT(网络地址转换)的一种变体,它通过重写源IP地址和目标IP地址端口来转换网络流量。 借助IP伪装,您可以使用一台充当网关的Linux计算机,允许专用网络中的一台或多台计算机与互联网通信。
使用UFW配置IP伪装涉及几个步骤。首先,您需要启用IP转发。 为此请使用你喜欢的编辑器编辑/etc/ufw/sysctl.conf文件,在本教程中将使用vim编辑器打开文件:
vim /etc/ufw/sysctl.conf
查找并取消注释以下行:
net/ipv4/ip_forward=1
/etc/ufw/sysctl.conf
保存并退出编辑器后,您需要配置UFW以允许转发数据包。 打开UFW配置文件:
vim /etc/default/ufw
找到DEFAULT_FORWARD_POLICY键,然后将值从DROP更改为ACCEPT:
DEFAULT_FORWARD_POLICY="ACCEPT"
/etc/default/ufw
现在,您需要在nat表中设置POSTROUTING链的默认策略和伪装规则。 为此,请打开/etc/ufw/before.rules文件,如下所示:
vim /etc/ufw/before.rules
追加以下几行到文件:
#NAT table rules 启用nat 表
*nat
# 允许POSTROUTING 链
:POSTROUTING ACCEPT [0:0]
# 转发eth0接口的数据包,请将eth0更改为你对应的接口
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
/etc/ufw/before.rules
注意不要删除COMMIT关键词所在行,它永远是在最后一行
别忘了在-A POSTROUTING行中替换eth0以匹配公共网络接口的名称。完成后,保存并关闭文件。最后,通过禁用和重新启用UFW重新加载UFW规则:
ufw disable
ufw enable
结论
我们已向您展示了如何在Debian 10服务器上安装和配置UFW防火墙。 在限制所有不必要的连接的同时,请确保允许系统正常运行所需的所有传入连接。有关此主题的更多信息,请访问UFW手册页。