的查维斯(简单的防火墙)代表了一个严重的简化到iptables而且,在这些年中,它已经成为Ubuntu和Debian等系统的默认防火墙。是的,查维斯令人惊讶的是,它并不复杂——这对新管理员来说是一个福音,否则他们可能需要投入大量的时间来提高防火墙管理的速度。
gui是可用的查维斯(如gufw),但查维斯命令通常在命令行上发出。这篇文章研究了一些使用的命令查维斯并研究它是如何工作的。
首先,一个快速的方法来看看如何查维斯是看它的配置文件配置-/etc/default/ufw。在下面的命令中,我们使用以下命令显示设置grep禁止显示空白行和注释(以#开头的行)。
$ grep -v '^# |^ ' /etc/default/ufw IPV6=yes DEFAULT_INPUT_POLICY="DROP" DEFAULT_OUTPUT_POLICY="ACCEPT" DEFAULT_FORWARD_POLICY="DROP" DEFAULT_APPLICATION_POLICY=" DROP"
如您所见,默认策略是删除输入并允许输出。允许您特别希望接受的连接的附加规则是单独配置的。
ufw命令的基本语法可能如下所示,尽管这个概要并不意味着只输入“ufw”会比快速错误地告诉您需要参数更有帮助。
[——dry-run][选项][规则语法]
的——即将选择意味着查维斯不会运行您指定的命令,但会显示您将看到的结果。但是,它将显示整个规则集,就像在进行更改时所存在的规则集一样,因此要为多行输出做好准备。
来检查的状态查维斯,运行如下命令。注意,即使这个命令也需要使用sudo或使用根帐户。
状态:激活到动作从--- 22 ALLOW 192.168.0.0/24 9090 ALLOW Anywhere 9090 (v6) ALLOW Anywhere (v6)
否则,你会看到这样的东西:
$ ufw状态错误:你需要根运行这个脚本
添加“verbose”提供了一些额外的细节:
详细状态:活动日志:打开(低)默认:拒绝(传入),允许(传出),禁用(路由)新的配置文件:从--- 22允许192.168.0.0/24 9090允许在任何地方9090 (v6)允许在任何地方(v6)
您可以轻松地允许和拒绝连接的端口号与命令如下:
$ sudo ufw deny 25 <== deny smtp access
你可以去看看/文件,以查找端口号和服务名称之间的连接。
代理服务器袜子1080/udp http-alt 8080/tcp webcache高速缓存服务http-alt 8080/udp amanda 10080/tcp # amanda备份服务amanda 10080/udp canna 5680/tcp # cannaserver
或者,您可以在这些命令中使用服务名。
$ sudo ufw允许http规则添加规则添加(v6)
在作出更改后,你应再次检查状态,看看这些更改已作出:
$ sudo ufw status: active To Action From ----- 22 ALLOW 192.168.0.0/24 9090 ALLOW Anywhere 80/tcp ALLOW Anywhere <== 443/tcp ALLOW Anywhere <== 9090 (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) <== 443/tcp (v6) ALLOW Anywhere (v6) <== 443/tcp (v6) ALLOW Anywhere (v6) <==
的规则查维斯中存储/etc/ufw目录中。注意,您需要root权限才能查看这些文件,而且每个文件都包含大量规则。
1 . root root 1004 Aug 17 after.rules - rwr - 1 root root 915 Aug 17 after.rules - rwr - 1 root root 1130 before 2018 1月5日init - rwr -r——1根1126 1月5日2018年以后。3根根4096 11月12日08:21申请。1 root root 3月18日17:30用友1 root root 3月19日10:42用户
本文前面所做的更改(增加了端口)80为http访问和443为https(加密的http)访问将看起来像这样的user.rules和user6.rules文件:
# grep“80”用户* .rules user6.rules: # # # # # #元组允许tcp 80:: / 0:: / 0 user6.rules:——ufw6-user-input - p tcp——dport 80 - j接受user.rules: # # # # # #元组允许tcp 80 0.0.0.0/0任何0.0.0.0/0 user.rules:——ufw-user-input - p tcp——dport 80 - j接受你有新的邮件在/var/mail/root # grep 443用户* .rules user6.rules: # # # # # #元组允许tcp 443:: / 0:: / 0 user6.rules:——ufw6-user-input - p tcp——dport 443 - j接受user.rules: # # # # # #元组允许tcp 443 0.0.0.0/0任何user.rules:-一个用友用户输入-p tcp -dport 443 -j ACCEPT
与查维斯,你也可以很容易地阻止连接从一个系统使用这样的命令:
$ sudo ufw拒绝从208.176.0.50规则添加
状态命令将显示更改:
$ sudo地头状态详细状态:活跃日志:(低)违约:否认(输入),允许(外向),禁用(路由)新概要文件:跳到行动- - - - - - - - - - - - 22日允许9090年192.168.0.0 / 24允许443年80 / tcp允许在任何地方/ tcp允许在任何地方任何否认208.176.0.50 < = = 9090 (v6)允许在任何地方(v6) 80 / tcp (v6)允许在任何地方(v6) 443 / tcp (v6)允许在任何地方(v6)
总而言之,查维斯既易于配置,又易于理解。