防火墙是用于监视和过滤传入和传出网络流量的工具。
它通过定义一组确定是允许还是阻止特定流量的安全规则来工作。

Ubuntu随附了一个名为UFW（非复杂防火墙）的防火墙配置工具。
UFW是用于管理iptables防火墙规则的用户友好型前端。
其主要目标是使防火墙的管理变得更容易，或者顾名思义，使防火墙变得不复杂。

本文介绍如何使用UFW工具在Ubuntu 20.04上配置和管理防火墙。
正确配置的防火墙是整个系统安全性中最重要的方面之一。

准备工作

只有root或者具有sudo特权的用户才能管理系统防火墙。

最佳实践是以sudo用户身份运行管理任务。

安装UFW

UFW是标准Ubuntu 20.04安装的一部分，应该存在于系统中。
如果由于某种原因未安装它，则可以通过键入以下内容来安装软件包：

sudo apt updatesudo apt install ufw

检查UFW状态

UFW默认情况下处于禁用状态。
我们可以使用以下命令检查UFW服务的状态：

sudo ufw status verbose

输出将显示防火墙状态为非活动：

Status: inactive

如果激活了UFW，则输出将类似于以下内容：

UFW默认策略

UFW防火墙的默认行为是阻止所有传入和转发流量，并允许所有出站流量。
这意味着，除非我们专门打开端口，否则任何尝试访问服务器的人将无法连接。
服务器上运行的应用程序和服务将能够访问外界。

默认策略在'/etc/default/ufw'文件中定义，可以通过手动修改文件或者使用'sudo ufw default <policy> <chain>'命令来更改。

防火墙策略是构建更复杂和用户定义的规则的基础。
通常，初始UFW默认策略是一个很好的起点。

应用资料

应用程序配置文件是INI格式的文本文件，用于描述服务并包含该服务的防火墙规则。
在安装软件包期间，将在“ /etc/ufw/applications.d”目录中创建应用程序配置文件。

我们可以通过键入以下命令列出服务器上所有可用的应用程序配置文件：

sudo ufw app list

根据系统上安装的软件包，输出将类似于以下内容：

Available applications:
  Nginx Full
  Nginx HTTP
  Nginx HTTPS
  OpenSSH

要查找有关特定配置文件和包含的规则的更多信息，请使用以下命令：

sudo ufw app info 'Nginx Full'

输出显示“ Nginx Full”配置文件打开了端口“ 80”和“ 443”。

Profile: Nginx Full
Title: Web Server (Nginx, HTTP + HTTPS)
Description: Small, but very powerful and efficient web server
Ports:
  80,443/tcp

我们还可以为应用程序创建自定义配置文件。

启用UFW

如果要从远程位置连接到Ubuntu，则在启用UFW防火墙之前，必须明确允许传入的SSH连接。
否则，我们将无法再连接到计算机。

要将UFW防火墙配置为允许传入的SSH连接，请键入以下命令：

sudo ufw allow ssh

Rules updated
Rules updated (v6)

如果SSH在非标准端口上运行，则需要打开该端口。

例如，如果ssh守护程序侦听端口“ 7722”，请输入以下命令以允许该端口上的连接：

sudo ufw allow 7722/tcp

现在，将防火墙配置为允许传入的SSH连接，我们可以通过键入以下内容来启用它：

sudo ufw enable

Command Jan disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

我们将被警告，启用防火墙可能会破坏现有的ssh连接，只需键入'y'并点击'Enter'即可。

开放口

根据系统上运行的应用程序，我们可能还需要打开其他端口。
打开端口的一般语法如下：

ufw allow port_number/protocol

以下是有关如何允许HTTP连接的几种方法。

第一种选择是使用服务名称。
UFW检查'/etc/services'文件中指定服务的端口和协议：

sudo ufw allow http

我们还可以指定端口号和协议：

sudo ufw allow 80/tcp

如果未给出协议，UFW会同时为'tcp'和'udp'创建规则。

另一种选择是使用应用程序配置文件。
在这种情况下，“ Nginx HTTP”：

sudo ufw allow 'Nginx HTTP'

UFW还支持使用'proto'关键字指定协议的另一种语法：

sudo ufw allow proto tcp to any port 80

端口范围

UFW还允许我们打开端口范围。
起始端口和结束端口用冒号（'：'）分隔，并且我们必须指定协议'tcp'或者'udp'。

例如，如果要在“ tcp”和“ udp”上都允许端口从“ 7100”到“ 7200”，则可以运行以下命令：

sudo ufw allow 7100:7200/tcpsudo ufw allow 7100:7200/udp

特定的IP地址和端口

要允许来自给定源IP的所有端口上的连接，请使用'from'关键字，后跟源地址。

这是将IP地址列入白名单的示例：

sudo ufw allow from 64.63.62.61

如果要仅允许给定IP地址访问特定端口，请使用“ to any port”关键字，后跟端口号。

例如，要允许从IP地址为“ 64.63.62.61”的计算机访问端口“ 22”，请输入：

sudo ufw allow from 64.63.62.61 to any port 22

子网路

允许连接到IP地址子网的语法与使用单个IP地址时的语法相同。
唯一的区别是我们需要指定网络掩码。

下面是一个示例，显示了如何允许访问范围从“ 192.168.1.1”到“ 192.168.1.254”的IP地址到端口“ 3360”（MySQL）：

sudo ufw allow from 192.168.1.0/24 to any port 3306

特定的网络接口

要允许特定网络接口上的连接，请使用“ in on”关键字，后跟网络接口名称：

sudo ufw allow in on eth2 to any port 3306

拒绝连接

所有传入连接的默认策略均设置为'deny'，如果未更改，则UFW会阻止所有传入连接，除非我们专门打开该连接。

编写拒绝规则与编写允许规则相同。
我们只需要使用'deny'关键字而不是'allow'即可。

假设我们打开了端口“ 80”和“ 443”，并且服务器受到“ 23.24.25.0/24”网络的攻击。
要拒绝来自“ 23.24.25.0/24”的所有连接，我们可以运行以下命令：

sudo ufw deny from 23.24.25.0/24

这是一个拒绝仅从“ 23.24.25.0/24”访问端口“ 80”和“ 443”的示例，我们可以使用以下命令：

sudo ufw deny proto tcp from 23.24.25.0/24 to any port 80,443

删除UFW规则

通过规则编号和指定实际规则，可以通过两种不同的方式删除UFW规则。

通过规则编号删除规则更容易，尤其是当我们不熟悉UFW时。
要首先通过规则编号删除规则，我们需要找到要删除的规则的编号。
要获取编号规则的列表，请使用“ ufw状态编号”命令：

sudo ufw status numbered

Status: active
     To                         Action      From
     --                         ------      ---
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 80/tcp                     ALLOW IN    Anywhere
[ 3] 8080/tcp                   ALLOW IN    Anywhere

要删除规则号“ 3”（允许连接到端口“ 8080”的规则号），请输入：

sudo ufw delete 3

第二种方法是通过指定实际规则来删除规则。
例如，如果我们添加了打开端口“ 8069”的规则，则可以使用以下命令将其删除：

sudo ufw delete allow 8069

禁用UFW

如果出于任何原因要停止UFW并停用所有规则，则可以使用：

sudo ufw disable

以后，如果我们想重新启用UTF并激活所有规则，只需键入：

sudo ufw enable

重置UFW

重置UFW将禁用UFW，并删除所有活动规则。
如果我们想还原所有更改并重新开始，这将很有帮助。

要重置UFW，请键入以下命令：

sudo ufw reset

IP伪装

IP Masquerading是Linux内核中NAT（网络地址转换）的一种变体，它通过重写源IP地址和目标IP地址和端口来转换网络流量。
借助IP伪装，我们可以使用一台充当网关的Linux机器，允许专用网络中的一台或者多台机器与Internet通信。

用UFW配置IP伪装涉及几个步骤。

首先，我们需要启用IP转发。
为此，请打开“ /etc/ufw/sysctl.conf”文件：

sudo nano /etc/ufw/sysctl.conf

查找并取消注释读取“ net.ipv4.ip_forward = 1”的行：

/etc/ufw/sysctl.conf

net/ipv4/ip_forward=1

接下来，我们需要配置UFW以允许转发数据包。
打开UFW配置文件：

sudo nano /etc/default/ufw

找到“ DEFAULT_FORWARD_POLICY”键，并将值从“ DROP”更改为“ ACCEPT”：

/etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

现在，我们需要为“ nat”表中的“ POSTROUTING”链和化装规则设置默认策略。
为此，请打开“ /etc/ufw/before.rules”文件，并添加以黄色突出显示的行，如下所示：

sudo nano /etc/ufw/before.rules

追加以下几行：

/etc/ufw/before.rules

#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

不要忘记在“ -A POSTROUTING”行中替换“ eth0”以匹配公共网络接口的名称：

完成后，保存并关闭文件。

最后，通过禁用和重新启用UFW重新加载UFW规则：

sudo ufw disablesudo ufw enable