1.安裝

   sudo apt-get install ufw
   設定檔在/etc/ufw

2.啟用
  sudo ufw enable
3.關閉
   sudo ufw disable
4.查看防火牆狀態
   sudo ufw status
5.快速啓用ufw並設定規則
   sudo ufw default deny 
   此命令將會啓動防火牆並禁止外部所有連線存取本機資源,但是本機對外連線則正常開放 
6.開啓常用設定服務
   (1)開啟DNS服務(port tcp/udp 53)
         sudo ufw allow 53
   (2)允許外部使用http(port tcp/udp 80)、與https(port tcp/udp 443)服務
         sudo ufw allow http      
         sudo ufw allow https     
   (3)開放pop3(port tcp/udp 110)pop3s(port tcp/udp 995)服務   
         sudo ufw allow pop3 
         sudo ufw allow pop3s
   (4)開放smtp服務(port tcp 25)
         sudo ufw allow smtp
   (5)開放imap(port tcp/udp 143)imaps服務(port tcp/udp 993)服務 
         sudo ufw allow imap
         sudo ufw allow imaps
   (6)開啟ntp服務 (port tcp/udp 123)
sudo ufw allow ntp
(7)開放ssh服務 (port tcp 22)
sudo ufw allow
22
 
7.刪除已開放的特定服務規則
   (1)刪除DNS服務(port tcp/udp 53)
   (2)刪除外部使用http(port tcp/udp 80)與https(port tcp/udp 443)服務
         sudo ufw delete allow http
         sudo ufw delete allow https
   (3)刪除pop3(port tcp/udp 110)pop3s(port tcp/udp 995)服務 
         sudo ufw delete allow pop3
         sudo ufw delete allow pop3s
   (4)刪除smtp服務(port tcp 25)
         sudo ufw delete allow smtp 
   (5)刪除imap(port tcp/udp 143)imaps(port tcp/udp 993)服務  
         sudo ufw delete allow imap 
         sudo ufw delete allow imaps 
   (6)刪除ntp服務 (port tcp/udp 123)
sudo ufw delete allow ntp
(7)刪除ssh服務 (port tcp 22)
sudo ufw delete 22
8.允許特定IP存取本機資源
   sudo ufw allow from xxx.xxx.xxx.xxx to <port number>

9.允許特定網段存取資源
開放內部特定網段存取webmin服務(tcp 10000)
sudo ufw allow from 192.168.2.1/24 to any port 10000

sudo ufw allow proto tcp from 192.168.2.1/24 to any port 10000

10.刪除特定網段存取資源
  sudo ufw delete allow from 192.168.2.1/24 to any port 10000

sudo ufw delete allow proto tcp from 192.168.2.1/24 to any port 10000

備註:
啟用UFW後,觀察UFW的記錄檔,發現有不該被拒絕連線的服務被拒絕掉
例如: 使用者透過port 55557(TCP) 連線到伺服器 port 80的網頁服務

為避免狀況,如果您的啟用UFW的機器是伺服器,請在加上下列規則
#DNS服務使用 PORT TCP/UDP 53
sudo allow proto any from any to any port 53
#網頁服務http預設使用 PORT TCP 80
sudo ufw allow proto tcp from any to any port 80
#網頁服務https預設使用 PORT TCP 443
sudo ufw allow proto tcp from any to any port 443
#電子郵件收件功能pop3預設使用PORT TCP 110
sudo ufw allow proto tcp from any to any port 110
#電子郵件收件功能pop3s預設使用PORT TCP 995
sudo ufw allow proto tcp from any to any port 995
#電子郵件寄件功能SMTP預設使用PORT TCP 25
sudo ufw allow proto tcp from any to any port 25
#電子郵件imap預設使用PORT TCP 143
sudo ufw allow proto tcp from any to any port 143
#電子郵件imaps預設使用PORT TCP 993
sudo ufw allow proto tcp from any to any port 993

參考資料

http://wiki.ubuntu.org.cn/index.php?title=UFW%E9%98%B2%E7%81%AB%E5%A2%99%E7%AE%80%E5%8D%95%E8%AE%BE%E7%BD%AE&variant=zh-hant

http://cm-life.blogspot.tw/2008/05/ufw.html

, ,

K 發表在 痞客邦 PIXNET 留言(0) 人氣()