禁用任何未使用的端口com_简明教程|Linux中UFW的使用

最新推荐文章于 2024-12-02 23:37:36 发布
最新推荐文章于 2024-12-02 23:37:36 发布
阅读量999 收藏 1
点赞数
文章标签: 禁用任何未使用的端口com
本文介绍了UFW防火墙的基本安装与配置方法,包括默认策略设置、特定端口和服务规则的添加,以及针对特定IP地址的规则设定。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

357d4147d7c676ee19c05d70fd6250f8.png

这几天部署了一些服务,有用到UFW来管理防火墙规则,十分好用,下面大致记录一下其安装及使用方法,方便后续可以快速应用。

UFW,或称Uncomplicated Firewall,是iptables的一个接口,为不熟悉防火墙概念的初学者提供了易于使用的界面,同时支持IPv4和IPv6,广受欢迎。

先决条件

  • 任意一台安装有Linux发行版的主机
  • root权限(以下命令默认在root账户下运行,如果是其他账户,使用sudo也是一样的)

安装

Ubuntu & Debian

# apt-get install ufw -y

CentOS

CentOS默认软件源不提供UFW,所以你需要安装EPEL软件源,运行以下命令:

# yum install epel-release -y

安装完成后使用以下命令安装UFW:

# yum install --enablerepo="epel" ufw -y

UFW安装后,可以通过以下命令来启动UFW服务并使其在启动时启动(一般在完成默认配置后再重启):

# ufw enable

如果运行ufw命令时报Command Not Found错误,可以使用whereis ufw来确定ufw的位置,之后你也可以顺手设置一下alias。
接下来,使用以下命令检查UFW的状态,可以看到以下输出:

# ufw status 
Status: active

还可以通过运行以下命令来禁用UFW防火墙(后面可以通过enable命令随时启用服务):

# ufw disable

如果你决定要重新开始,则可以使用reset命令:

# ufw reset

这将禁用UFW并删除之前定义的任何规则。

使用

最新版的UFW默认启用了IPV6配置,你也可以通过以下命令进行检查,可以看到以下输出:

# cat /etc/default/ufw | grep -i ipv6
IPV6=yes

如果输出为IPV6=no,可以使用vim编辑该文件将其改为yes。

第一步:设置UFW默认策略

默认情况下,UFW默认策略设置为阻止所有传入流量并允许所有传出流量,你可以使用以下命令来设置自己的默认策略:

# ufw default allow outgoing 
# ufw default deny incoming

如果现在重启机器(这会儿不要这么做),UFW配置会在重启后生效,它将拒绝所有传入的连接。因为我们没有允许SSH连接,这意味着,重启过后我们将无法远程连接到服务器。如果我们希望服务器响应这些类型的请求,我们就需要明确指定允许传入连接的规则 (例如SSH或HTTP连接)。

第二步:设置SSH或其他规则

要将防火墙配置为允许传入SSH连接,可以使用以下命令:

# ufw allow ssh

这将创建防火墙规则-允许端口22上的所有连接,这是SSH守护程序默认监听的端口,类似的快捷指令还有 ufw allow httpufw allow https

实际上也可以通过直接指定端口来创建等效规则,下面这条命令将产生相同的结果:

# ufw allow 22

如果你的SSH守护程序配置在其他端口,则需要手动指定相应的端口。

第三步:其他规则的设置

UFW可以基于TCP或UDP协议来过滤数据包,命令如下:

# ufw allow 80/tcp
# ufw allow 21/udp

之后使用以下命令检查已添加规则的状态,应该可以看到如下输出:

# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip
To                         Action      From
80/tcp                     ALLOW IN    Anywhere
21/udp                     ALLOW IN    Anywhere
80/tcp (v6)                ALLOW IN    Anywhere (v6)
21/udp (v6)                ALLOW IN    Anywhere (v6)

还可以使用以下命令随时拒绝指定端口任何传入和传出的流量:

# ufw deny 80
# ufw deny 21

如果要删除HTTP允许的规则,只需在原始规则前加上delete即可,如下所示:

# ufw delete allow http
# ufw delete deny 21

也可以按编号删除规则,使用以下命令查看规则及其编号:

# ufw status numbered
OutputStatus: active
     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 443/tcp                    ALLOW IN    Anywhere
[ 3] 22/tcp (v6)                ALLOW IN    Anywhere (v6)
[ 4] 443/tcp (v6)               ALLOW IN    Anywhere (v6)

举个例子,要删除允许端口443上的HTTPS连接规则,也就是编号2(注意删除完规则后编号会更新):

# ufw delete 2

在设置完规则后,重启机器即可完成UFW配置。

更进一步

特定端口范围

某些应用程序使用多个端口而不是单个端口,你可能需要使用UFW指定端口范围,指定端口范围时,必须指定规则应适用的协议( tcp或udp )。
例如,要允许使用端口9000-9002范围内的连接,可以使用以下命令:

# ufw allow 9000:9002/tcp
# ufw allow 9000:9002/udp

特定的IP地址

出于某些情况,你可能需要允许/禁用来自特定IP地址的连接,如下:

# ufw allow from 192.168.29.36
# ufw deny from 192.168.29.36

还可以在UFW中允许IP地址范围,以下命令将允许从192.168.1.1到192.168.1.254的所有连接:

# ufw allow from 192.168.1.0/24

要允许IP地址192.168.29.36连接特定的端口80,可以运行以下命令:

# ufw allow from 192.168.29.36 to any port 80

进一步的,可以指定TCP/UDP:

# ufw allow from 192.168.29.36 to any port 80 proto tcp

来个复杂点的例子,

# ufw deny from 192.168.0.4 to any port 22 
# ufw deny from 192.168.0.10 to any port 22 
# ufw allow from 192.168.0.0/24 to any port 22

以上命令将会阻止从192.168.0.4和192.168.0.10访问端口22,但允许所有其他IP访问端口22。

以上大致简述了UFW的基本使用,日常使用基本够用。除此之外,UFW还支持更多的高级特性例如允许与特定网络接口的连接、配置NAT等等,你可以通过查看帮助文档或者搜索引擎了解其他高级命令的使用。

参考文档

1、How to Install and Use UFW Firewall on Linux
2、如何在Debian 10上使用UFW设置防火墙

Ubuntu防火墙命令大集合
网络技术联盟站
06-02 1765
Ubuntu是一款流行的Linux操作系统,默认情况下,Ubuntu附带了一个名为Uncomplicated Firewall(简称UFW)的防火墙工具。UFW旨在提供一个简单易用的命令行界面来管理iptables的复杂规则,从而使防火墙配置变得更加容易。UFW可以控制入站和出站的流量,可以配置规则来允许或拒绝特定的网络流量,确保系统的安全性。本文将详细介绍如何使用UFW命令来配置和管理Ubuntu防火墙。
Qualcomm平台android开发总结
05-04 2956
1、高通平台android开发总结 1.1 搭建高通平台环境开发环境 在高通开发板上烧录文件系统 建立高通平台开发环境 高通平台,android和 modem 编译流程分析 高通平台 7620 启动流程分析 qcril 流程分析,设置sim卡锁 python scons 语法学习 Python 语言之 scons 工具流程分析:   1.2 搭建高通平台环境开发环境 高通an
https可以走非443端口
m0_57236802的博客
07-21 6793
HTTPS 可以使用非 443 端口进行通信,只需要在服务器配置中指定不同的端口,并在客户端访问时使用相应的端口号即可。这样可以灵活地部署 HTTPS 服务,不局限于默认的 443 端口
https端口必须443吗
lin123_00的博客
05-22 1万+
443端口即网页浏览端口,主要是用于HTTPS服务,80端口是浏览网页的默认端口端口:443 服务:Https 说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 打造全网web前端全栈资料库(总目录)看完学的更快,掌握的更加牢固,你值得拥有(持续更新) HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简
搭建网站服务器必须开443端口,HTTPS端口必须一定要443吗?
热门推荐
weixin_29589063的博客
08-12 2万+
https端口必须一定要443吗443端口只是https的默认端口,不是必须443,你可以设定你想设定的端口,只要在你的站点配置文件里面指定端口号就可以了,这些都是服务器端的。下面我们再来详细的介绍下什么是端口?443端口是干什么的?HTTPS与HTTP原理区别。1、端口是什么"端口"是英文port的意译,可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口,其中虚拟端口指计算机内部或...
linux】iptables和ufw禁用IP和端口
weixin_43693967的博客
05-19 4242
有时候服务器,为了安全需要,会限制某些ip和端口对服务器的访问。那具体该如何配置呢?本文带你解决。
TC1782中文数据手册实践教程:不同环境下的完美部署
![TC1782中文数据手册](https://os.mbed.com/media/uploads/tbjazic/tipkalo002.png) # 摘要 本文系统介绍了TC1782数据...最后,文中探讨了高级部署中的故障排除、版本迁移、性能优化、环境适配和案例研究,为TC178
服务器搭建
03-12
好的,用户现在想了解如何搭建服务器,并询问服务器搭建教程。首先,我需要明确用户的需求是什么。搭建服务器有很多种情况,比如Web服务器、文件服务器、游戏服务器等等。用户没有具体说明,可能需要进一步询问,但...
Linux下,用ufw实现端口关闭、流量控制(二)
shuia64649495的博客
12-02 1860
本文介绍用ubuntu自带防火墙ufw实现端口关闭、流量控制的实现和原理,并与老版防火墙iptables的实现作对比,顺带介绍DoH与DoT的区别,提升系统安全性。
ubuntu系统下ufw无法禁用docker映射的端口
qq_36719391的博客
11-18 3343
ubuntu系统下ufw无法禁用docker映射的端口
ubuntu 防火墙端口设置
Hello_Ray的博客
05-14 2409
本文是笔记 添加6379访问,永久访问 firewall-cmd --zone=public --add-port=6379/tcp --permanent 重新加载防火墙生效上面的配置 firewall-cmd --reload
禁用任何使用端口com_[pc玩家]如何在Windows 10中禁用USB端口
weixin_39650745的博客
12-08 398
在保护数据安全方面,你永远都不要掉以轻心,安全隐患可能就在身边。如果你是一个设计相关企业的所有者,你可能不会希望员工通过移动硬盘或者U盘擅自拷贝走设计稿造成损失,那么采取必要的安全手段是必要的,大部分此类公司会首先考虑禁用掉usb功能,以达到授权用户无法使用移动设备,本文就介绍一下如何禁用usb端口。注册表禁用/启用USB驱动器 点击左下角的开始按钮并搜索regedit,在匹配的结果中找到注册...
关闭计算机的com命令,远程重启、关闭电脑命令、远程重启及其常用计算机命令...
weixin_36084095的博客
07-27 684
一:远程重启、关闭电脑命令、远程重启计算机命令shutdown.exe[-i|-l|-s|-r|-a][-f][-m[url=file://\\computername]\\computername[/url]][-txx][-c"comment"][-dup:xx:yy]没有参数显示此消息(与?相同)-i,显示GUI界面,必须是第一个选项-l...
https 端口_使用 Caddy 在非 443 端口开启 HTTPS
weixin_39869197的博客
11-23 6624
最近新入手了 HPE ProLiant MicroServer Gen10 Plus ,拿来做家庭服务器,以期避免长期租用云服务器。 虽然家庭服务器对比云服务器在性价比上有很明显的优势,但是却缺少了云服务的一项重要内容: 固定公网 IP 。 平时我们使用公网 IP 是为了可以随时随地访问服务器,而这个需求通过 DDNS 也可以实现,只是访问需要用域名而不是裸 IP 。通常 DDNS 由路由器来完成...
Linux关闭ufw防火墙,【Linux】- Ubutnu UFW防火墙的简单设置
weixin_30902943的博客
05-13 4551
ufw是一个主机端的iptables类防火墙配置工具,比较容易上手。一般桌面应用使用ufw已经可以满足要求了。安装方法sudo apt-get install ufw使用方法1、启用:sudo ufw enablesudo ufw default deny作用:开启了防火墙并随系统启动同时关闭所有外部对本机的访问(本机访问外部正常)。2、关闭sudo ufw disable3、查看防火墙状态sud...
除了443、14000端口,还有哪些端口是https的?
qq_14989227的博客
09-07 1万+
https使用的加密SSL通道,默认使用443端口,可以自行定义任意使用端口
为什么我推荐Nginx作为后端服务器代理
weixin_44747933的博客
07-13 330
1. 前言我们真实的服务器不应该直接暴露到公网上去,否则更加容易泄露服务器的信息,也更加容易受到攻击。一个比较“平民化”的方案是使用Nginx反向代理它。使用Nginx反向代理的一些能力...
linux默认的https端口,Linux上nginx配置非80、443端口自动跳往https端口
weixin_42350864的博客
04-30 1280
在生产环境中往往碰到一个网站需要多个访问端口,而默认的http访问端口是80,https访问的端口是443,然而这是不够在生产环境下使用的,这个时候就需要配置更多的端口来弥补这一缺点。默认情况下用户输入URL时是约简单越好,比如http://baidu.com ,用户只需要输入baidu.com就可以访问。但是这样是通过http协议进行访问,而并非https进行访问。站在用户的角度来考虑问题他不会...
如何在非443端口开启SSL(重置版)
weixin_46202629的博客
01-27 2006
很久之前没事乱写了一个在非443开SSL的教程,没想到有这么多人看。。。感觉之前写得挺粗糙的于是今天特地重新写一个正常一点并偏向小白的重置版我是从我的博客直接复制过来的,部分排版和图片可能会因为CDN防盗链出现一些问题,敬请谅解。
使用ufw开放端口
最新发布
05-10
### 在 Debian 系统中不使用 UFW 开放端口的方法 在 Debian 中,除了 UFW 外还可以直接通过 `iptables` 或者 `/etc/services` 文件配合系统服务的方式实现端口开放。以下是几种常见的替代方案: #### 使用 iptables 手动配置防火墙规则 Iptables 是 Linux 内核自带的一个强大的包过滤工具,它可以用来管理网络流量并控制哪些数据包被允许进入或离开您的计算机。 ##### 添加新规则以接受特定 TCP 端口上的传入连接: ```bash sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT ``` 此命令会告诉 iptables 接受所有针对本机第 80 号端口(通常用于 HTTP 流量)发起的请求[^1]。 对于 UDP 协议则需稍作调整如下所示: ```bash sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT ``` 如果想让这些更改永久生效而不是每次重启后都需要重新执行上述命令的话,则需要保存当前表项到文件里去以便下次启动时加载它们回来。例如,在某些版本下可以用下面这个简单的办法来做这件事儿: ```bash sudo sh -c "iptables-save > /etc/iptables.rules" ``` 接着编辑网卡初始化脚本来确保开机自动恢复刚才存储下来的规则集: ```bash echo "#!/bin/bash\n/sbin/iptables-restore < /etc/iptables.rules" | sudo tee /etc/network/if-pre-up.d/iptables chmod +x /etc/network/if-pre-up.d/iptables ``` #### 修改 /etc/services 文件定义新的服务及其对应端口号 另一种更简便但也相对局限得多的办法就是利用操作系统已经预先准备好的 `/etc/services` 文档来注册我们自己的应用程序所需监听的位置信息。只需找到合适的地方追加一行描述即可完成基本映射工作。像这样添加一个新的条目代表名为 myservice 的程序将在客户端尝试联系位于 localhost 上运行实例的时候占用 7654/TCP 这样的通道资源。 ```plaintext myservice 7654/tcp # My custom service description here. ``` 不过需要注意的是这种方法仅仅适用于那些本身支持查询本地 services 数据库从而决定实际绑定地址的应用软件而已;而对于大多数现代框架而言他们往往倾向于显式指定参数而非依赖环境变量之类的间接手段所以可能并不总是奏效[^2]。 另外一种方式则是依靠专门负责处理这类事务的服务守护进程inetd/xinetd等来动态分配闲置单元给临时调用方使用但鉴于篇幅原因在此不再展开讨论[^3]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值