标签：UFW

ufw是一个主机端的iptables类防火墙配置工具

安装：

sudo apt-get install ufw

开启，建议默认关闭所有外部访问

sudo ufw enable 
sudo ufw default deny

查看ufw现在已经开放的端口：

新增端口

sudo ufw allow 8080

删除端口

sudo ufw delete allow 8080

允许特定来源的ip地址访问

sudo ufw allow from 192.168.1.1

其他命令可以如此查看：

ubuntu@localhost:~$ sudo ufw –help
Usage: ufw COMMAND
Commands:

UbuntuHelp:UFW ：http://wiki.ubuntu.org.cn/UbuntuHelp:UFW

Ufw使用指南：http://wiki.ubuntu.org.cn/Ufw使用指南

ubuntu ufw防火墙：

http://wap.dongnanshan.com/fn.php?s=ubuntu%20ufw%E9%98%B2%E7%81%AB%E5%A2%99

UFW要领：通用防火墙规则和命令：https://www.howtoing.com/ufw-essentials-common-firewall-rules-and-commands/

Linux 防火墙：https://blog.csdn.net/freeking101/article/details/70239637

自打2.4版本以后的Linux内核中， 提供了一个非常优秀的防火墙工具。这个工具可以对出入服务的网络数据进行分割、过滤、转发等等细微的控制，进而实现诸如防火墙、NAT等功能。

一般来说， 我们会使用名气比较的大iptables等程序对这个防火墙的规则进行管理。iptables可以灵活的定义防火墙规则， 功能非常强大。但是由此产生的副作用便是配置过于复杂。一向以简单易用著称Ubuntu在它的发行版中，附带了一个相对iptables简单很多的防火墙配置工具：ufw。

ufw防火墙 即uncomplicated firewall（不复杂的防火墙）是iptables的接口，旨在简化配置防火墙的过程。 繁琐部分的设置还是需要去到iptables。虽然iptables是一个坚实和灵活的工具，但是初学者可能很难学会如何使用它来正确配置防火墙。如果您希望开始保护网络安全，并且不确定使用哪种工具，UFW可能是您的最佳选择。

Ubuntu下使用UFW配置防火墙（简化iptables的操作）

UFW全称为Uncomplicated Firewall，是Ubuntu系统上配置iptables防火墙的工具，即ufw是一个iptables的前端应用程序。UFW提供一个非常友好的命令用于创建基于IPV4，IPV6的防火墙规则。但是，UFW是没有界面的，就是用命令的那一种，所以，操作起来就不是那么的方便，有人帮它写了个界面，名字就叫做“Gufw”。
由于Ubuntu下的iptables操作起来比较复杂，依赖关系比较多，所以使用UFW时可以简化很多操作。当然Debian同样适用。
无论是桌面版还是服务器版, UFW的命令行用法是一样的。

1. 安装

Ubuntu的防火墙默认已安装，若无意中卸载，执行以下命令安装

sudo apt-get install ufw

查看防火墙状态

sudo ufw status
sudo ufw status numbered  # 按编号显示

防火墙版本

sudo ufw version

2. 启动、禁用、重置UFW

sudo ufw enable    # 设置开机启动
sudo ufw deny       # 关闭所有外部对本机的访问，但本机访问外部正常。    
sudo ufw reset       # 重置防火墙

3.开启/禁用

用法：sudo ufw allow|deny [service]

高级规则：

除了基于端口的允许或阻止，UFW 还允许您按照 IP 地址、子网和 IP 地址/子网/端口的组合来允许/阻止。

ufw deny from {ip-address-here} to any port {port-number-here}
sudo ufw deny from 202.54.1.5 to any port 80    # 阻断或拒绝IP地址202.54.1.5访问80端口的请求

拦截特定IP、端口以及协议

sudo ufw deny proto {tcp|udp} from {ip-address-here} to any port {port-number-here}

例如，阻断IP地址202.54.1.1访问tcp 22端口（FTP协议），可以输入：

sudo ufw deny proto tcp from 202.54.1.1 to any port 22
sudo ufw status numbered

UFW拦截子网

语法是类似的：

sudo ufw deny proto tcp from sub/net to any port 22
sudo ufw deny proto tcp from 202.54.1.0/24 to any port 22

使用示例：
一般用户，只需如下设置：

sudo apt-get install ufw
sudo ufw enable
sudo default deny

以上三条命令已经足够安全了，如果你需要开放某些服务，再使用sudo ufw allow开启。

sudo ufw deny from 192.168.1.5 to any # 拦截或拒绝来自192.168.1.5的所有数据包
sudo ufw allow from 123.45.67.89 # 允许从一个 IP 地址连接：
sudo ufw allow from 123.45.67.89/24 # 允许特定子网的连接：

允许特定 IP/端口的组合：

sudo ufw allow from 123.45.67.89 to any port 22 proto tcp

proto tcp 可以删除或者根据你的需求改成 proto udp，所有例子的 allow 都可以根据需要变成 deny。

sudo ufw allow www 或 sudo ufw allow 80/tcp
sudo ufw allow ftp 或 sudo ufw allow 21/tcp
sudo ufw allow 22/tcp        允许所有的外部IP访问本机的22/tcp (ssh)端口
sudo ufw allow 53                 # 允许外部访问53端口(tcp/udp)
sudo ufw allow 80                 # 允许外部访问80端口 等价 sudo ufw allow http
sudo ufw delete allow 80          # 禁止外部访问80 端口
sudo ufw allow from 192.168.1.1   # 允许此IP访问所有的本机端口    
sudo ufw allow from 111.111.111.111 to any port 22    # 允许特定IP特定端口的连接
sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53
sudo ufw deny smtp                # 禁止外部访问smtp服务
sudo ufw allow smtp　        允许所有的外部IP访问本机的25/tcp (smtp)端口
sudo ufw delete allow smtp        # 删除上面建立的某条规则

sudo ufw deny http                    # 拒绝http连接
sudo ufw deny from 111.111.111.111    # 拒绝特定IP连接

允许特定端口范围连接

sudo ufw allow 1000:2000/tcp
sudo ufw allow 2001:3000/udp

# 拒绝所有的TCP流量从10.0.0.0/8 到192.168.0.1地址的22端口
sudo ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 22

# 可以允许所有RFC1918网络（局域网/无线局域网的）访问这个主机（/8,/16,/12是一种网络分级）：
sudo ufw allow from 10.0.0.0/8
sudo ufw allow from 172.16.0.0/12
sudo ufw allow from 192.168.0.0/16

这样设置已经很安全，如果有特殊需要，可以使用sudo ufw allow开启相应服务

设置默认策略（默认策略即为拒绝所有传入连接，允许所有传出链接）

sudo ufw default deny incoming
sudo ufw default allow outgoing

允许SSH连接（重要！）否则你将无法连接云服务器…

# 以下两条命令效果是一样的
sudo ufw allow ssh
sudo ufw allow 22

4. 删除规则

有两种删除防火墙规则的方法，最直接的方法是：

sudo ufw delete allow ssh

如上，我们在 delete 指令后面输入要删除的规则即可。还可以这样：

sudo ufw delete allow 80/tcp

或

sudo ufw delete allow 1000:2000/tcp

如果规则又长又复杂，问题就比较棘手了。这里有一个更简单的方法，需要分成两个步骤：

sudo ufw status numbered    # 按规则来编号防火墙规则。命令会将所有防火墙规则以数字列表形式列出来
# 请将 [number] 替换成规则列表对应的数字序号。
sudo ufw delete 1           # 按规则编号删除防火墙规则 sudo ufw delete [number]
sudo ufw delete 4           # 删除编号为4的规则

5. 开启/关闭防火墙 (默认设置是’disable’)

sudo ufw enable|disable　

6. 编辑 UFW 的配置文件

虽然可以通过命令行添加简单的规则，但仍有可能需要添加或删除更高级或特定的规则。 在运行通过终端输入的规则之前，UFW 将运行一个文件 before.rules，它允许回环接口、ping 和 DHCP 等服务。要添加或改变这些规则，编辑 /etc/ufw/before.rules 这个文件。 同一目录中的 before6.rules 文件用于 IPv6 。

还存在一个 after.rule 和 after6.rule 文件，用于添加在 UFW 运行你通过命令行输入的规则之后需要添加的任何规则。
还有一个配置文件位于 /etc/default/ufw。 从此处可以禁用或启用 IPv6，可以设置默认规则，并可以设置 UFW 以管理内置防火墙链。

启用 IPv6 支持

如果你的云服务器启用了 IPv6，则需要配置 UFW 以启用支持，编辑 UFW 配置文件：

sudo nano /etc/default/ufw

在配置文件中将 IPV6 设置为 yes ：

IPV6=yes

保存并退出编辑器，重启 UFW：

sudo ufw disable
sudo ufw enable

这样，UFW 就同时支持 IPv4 和 IPv6 两种协议了。

更详细的说明

［］是代表可选内容。可能需要root权限，如无法运行，请使用 sudo ufw……的命令结构。“”中的内容不能照抄，要按需要更改。
ufw [--dry-run] enable|disable|reload
命令［–试运行］激活｜关闭｜重新载入
ufw [--dry-run] default allow|deny|reject [incoming|outgoing]
命令［–试运行］默认 允许｜阻止｜拒绝 ［访问本机的规则｜向外访问的规则］
注：reject让访问者知道数据被拒绝（回馈拒绝信息）。deny则直接丢弃访问数据，访问者不知道是访问被拒绝还是不存在该主机。
ufw [--dry-run] logging on|off|LEVEL
命令［–试运行］日志 开启｜关闭｜“级别”
ufw [--dry-run] reset
命令［–试运行］复位
ufw [--dry-run] status [verbose|numbered]
命令［–试运行］状态 ［详细｜被编号的规则］
ufw [--dry-run] show REPORT
命令［–试运行］显示 “报告类型”
ufw [--dry-run] [delete] [insert NUM] allow|deny|reject|limit  [in|out][log|log-all] PORT[/protocol]
命令［–试运行］［删除］ ［插到“x号规则”之前］ 允许｜阻止｜拒绝｜限制 ［进｜出］ ［记录新连接｜记录所有数据包］ “端口” ［/“协议”］
ufw  [--dry-run]  [delete] [insert NUM] allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]] [to ADDRESS [port PORT]]
命令 ［–试运行］［删除］［插到x号规则之前］ 允许｜阻止｜拒绝｜限制 ［进｜出 基于“什么网络设备”］ ［协议 “协议”］ ［来源 “地址” ［端口 “端口”］］ ［目标 “地址” ［端口 “端口”］］
ufw [--dry-run] delete NUM
命令［–试运行］ 删除 “第X号规则”
ufw [--dry-run] app list|info|default|update
命令 ［–试运行］ 程序 清单｜信息｜默认｜更新

参数
–version
显示程序版本号
-h , –help
显示帮助信息
–dry-run
不实际运行，只是把涉及的更改显示出来。
enable
激活防火墙，开机时自动启动
disable
关闭防火墙，开机时不启动
reload
重新载入防火墙
default allow|deny|reject 方向
方向是指：向内（incoming）｜向外（outgoing）。如果更改了默认策略，一些已经存在的规则可能需要手动修改。更多内容看“规则示例”一节。
logging on|off|“级别”
切换日志状态。日志记录包使用的是系统日志。“级别”有好几个，默认是低级（low）。详细内容看“日志”一节。
reset [--force]
关闭防火墙，并复位至初始安装状态。如果使用–force选项，则忽略确认提示。
status
显示防火墙的状态和已经设定的规则。使用status verbose显示更详细的信息。‘anywhere’与‘any’、‘0.0.0.0/0’一个意思。
show “报告类型”
显示防火墙运行信息。详细内容看“报告类型”
limit “规则”
此命令目前只能用于IPv4。还不支持IPv6.

规则示例
    * 规则可以简写也可以完整表达。简写的规则只能指定端口和（或）协议被允许或阻止。默认是访问本机的规则（incoming）。例如：
ufw allow 53
允许其它机子访问本机53端口，协议包含tcp和udp。
    * 如果要控制协议，只要加入“/协议”在端口后面就行了。例如：
ufw allow 25/tcp
允许其它机子使用tcp协议访问25端口。
    * UFW也可以检查 /etc/services文件，明白服务的名字及对应的端口和协议。我们使用服务的名称即可。
ufw allow smtp
    * UFW同时支持出入口过滤。用户可以使用in或out来指定向内还是向外。如果未指定，默认是in。例如：
ufw allow in http
ufw reject out smtp
ufw deny out to 192.168.1.1
阻止向192.168.1.1发送信息
    * 用户也可使用完整的规则来指定来源与目的地，还有端口。书写规则基于OpenBSD PF。举例：
ufw deny proto tcp to any port 80
阻止本机用tcp协议在80端口发数据
ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 25
This will deny all traffic from the RFC1918 Class A network to tcp port 25 with the address 192.168.0.1.（这条命令目前无法翻译 from 和 to的关系，希望后来者更改）
    * ufw也可以使用IPv6协议。但要事先在/etc/default/ufw 中设定IPv6为启动状态。举例：
ufw deny proto tcp from 2001:db8::/32 to any port 25
阻止IPv6为2001:db8::/32类型的地址，连接本机25端口
    * ufw可以连续例举端口号。端口号间必须使用逗号或分号，不能使用空格。“输入端口号”字符数最多不能超过15过（8080：8090算两个字符）。比如允许80,443，8080～8090这几个端口接受tcp传入连接。
ufw allow proto tcp from any to any port 80,443,8080:8090
此例，“输入端口号”字符数为4个。
    * ufw可以对连接数率进行限制，以防范暴力登录攻击。如果同一个IP地址在30秒之内进行了6次及6次以上的连接，ufw将阻止（deny）该连接。可以查看更多信息。
ufw limit ssh/tcp
    * 当然有些时候我们想让访问者知道他的访问被拒绝了,而不是保持沉默让他不知道哪出了问题。就使用reject代替deny
ufw reject auth
    * 默认情况下ufw的所有规则针对所有网络设备（比如网卡1，网卡2，无线网卡1，虚拟网卡1……）。但是我们可以特别指定，某规则在什么网络设备上生效。注意只能使用设备号，不能用别名。比如有线网卡：eth0(你可以使用ifconfig命令查看你现有的网络设备）
ufw allow in on eth0 to any port 80 proto tcp
    * 要删除规则，只要在命令中加入delete就行了。比如：
ufw deny 80/tcp
要删除条命令建立的规则，使用：
ufw delete deny 80/tcp
当然，也可以使用规则号来进行删除。比如要第3号规则
ufw delete 3
注意，如果你开启IPv6功能。要同时删除IPv4和IPv6的规则（比如：ufw allow 22/tcp）,如果用规则号的方式删除可能只删除了一个。
    * 显示第几号规则，可以使用这样的命令
ufw status numbered(也就是规则号)
    * 日志功能。如果使用log将记录所有符合规则的新连接，如果使用log-all将记录所有符合规则的数据包。例如，要允许并记录shh（22/tcp）上的新连接：
ufw allow log 22/tcp
更多内容看“日志”一节
特殊例子： 允许RFC1918网络结构访问本机：
ufw allow from 10.0.0.0/8
ufw allow from 172.16.0.0/12
ufw allow from 192.168.0.0/16
最后一条经过测试，范围大约是192.168.0.0～192.168.225.225。当然，涉及很多专业知识，希望有人补充。
远程管理
此章节还未被编辑
应用程序集成管理
* ufw能从 /etc/ufw/applications.d. 中读取应用程序清单。你可以使用命令查看：
ufw app list
 * 大家可以使用应用程序名字来增加规则。比如
ufw allow <程序名字>
ufw allow CUPS
ufw allow from 192.168.0.0/16 to any app <程序名字>
注意，端口号已经被程序名所对应的策略所包括，不要再重新列举端口号。
* 查看程序名所对应的策略内容，命令：
ufw app into <程序名字>
注意：程序名字是清单上有的才行。程序名字改用用all，可以看全部策略。
* 如果你编辑或者增加了程序清单，你可使用此命令更新防火墙：
ufw app update <程序名字>
程序名字改用用all，则更新整个清单。
* 更新清单同时增加规则可以使用如下命令：
ufw app update –add-new <程序名字>
注意：update –add-new参数的行为由此命令配置：
ufw app default skip|allow|deny
默认是skip，也就是没有设定。
警告：如果程序规则设定为default allow ，将会引起很大的风险。请三思而后行！
日志
ufw支持许多日志级别。默认是低级（low），用户也可以自己指定：
ufw logging on｜off|low|medium|high|full
    * off 就是关闭日志
    * low 记录与默认策略冲突的封装数据包（记录速度被限制）。记录与规则符合的数据包（没有要求关闭记录的）
    * medium 记录与默认策略冲突的数据包（包括被规则允许的）、无效数据包、所有新连接。记录速度被限制。
    * high 同medium，只是没有记录速度限制。附加记录所有数据包（有记录速度限制）。
    * full 与high等同，只是取消记录限制。
medium级别及更上级会记录许多内容，有可能短时间内撑爆你的硬盘。特别是用在服务器一类的机器上。

起因

　　很久以来许许多多人催促着我赶快配置好防火墙规则以保护vps，但是。。。配置繁琐的iptables使我望而却步（其实就是懒

直到我发现了ufw这个神器

UFW 全称为 UncomplicatedFirewall[1]，是 Ubuntu 系统上默认的防火墙组件, 为了轻量化配置 iptables 而开发的一款工具。UFW 提供一个非常友好的界面用于创建基于IPV4，IPV6的防火墙规则。
废话不多说，上教程

环境

Ubuntu 16.04

安装

apt install ufw

配置

首先先打开ssh端口

ufw allow ssh

如果你的ssh端口不是默认的22，就

ufw allow 你的ssh端口

打开53端口，使dns功能不受影响

ufw allow 53/tcp

ufw allow 53/udp

可选：打开80，443端口

ufw allow http/tcp

ufw allow https/tcp

然后

ufw default deny

阻断除上述规则外的外部连接（本机外发流量无影响）

ufw enable

启动防火墙，done！

操作指令

• 启动防火墙 ufw enable
• 关闭防火墙 ufw disable
• 更新配置 ufw reload
• 查看防火墙状态 ufw status