我决定启用 Ubuntu 附带的 UFW 只是为了让我的系统更加安全(尤其是在观看了一个人的计算机实际上被感染的视频之后!),并且我已经启用了 UFW 并安装了 GUFW,但是我'我不知道接下来要做什么。当我检查防火墙的状态时,它说它处于活动状态。我应该配置哪些规则来实际使用防火墙,因为现在我假设它允许一切,基本上就像它不存在一样。
基本上我有两台机器 X 和 Y。
我想使用 ufw 在 HTTP 端口 80 上阻止来自机器 X 的“http:// <IP-of-Y-Here> /AFolder/”。
简单地说,这可以(非常)使用 ufw 通过以下方式完成:
sudo ufw deny out 80
但是是否有可能按照以下方式做一些事情:
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
那会满足我的要求吗?
这是一个示例日志消息:
5 月 25 日 10:36:07 myserver 内核:[7057243.392334] [UFW BLOCK] IN=eth0 OUT= MAC=00:02:55:67:82:eb:00:06:b1:3a:ef:62:08: 00 SRC=69.197.128.26 DST=192.168.100.101 LEN=44 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=TCP SPT=48788 DPT=80 WINDOW=972 RES=0x00 RST
我的理解是它DPT代表“目标端口”,但由于我已将 ufw 配置为允许端口 80 上的传入连接,我很困惑为什么我会看到这样的日志消息 - 一条日志消息似乎是表示 ufw 阻止了该端口上的连接尝试。
以下是来自 的相关行ufw status:
行动自 —————————— 80/tcp 允许任何地方 80/tcp 允许任何地方 (v6)
我现在在 Ubuntu 11.10 和现在(在升级同一台机器后)在 Ubuntu 12.04 上都看到了这一点。
我有一个 12.04.4 服务器,我启用了 ufw,并试图阻止 port 8080。但是,它仍然是开放的。
$ sudo ufw deny 8080
Rule added
Rule added (v6)
$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN Anywhere
[ 2] 80 ALLOW IN Anywhere
[ 3] 8080 DENY IN Anywhere
[ 4] 22 ALLOW IN Anywhere (v6)
[ 5] 80 ALLOW IN Anywhere (v6)
[ 6] 8080 DENY IN Anywhere (v6)
想法?我仍然可以访问8080上的网站。我已经重新启动了几次系统。IP 地址是通过静态分配处理的,但我找不到任何表明这是问题的内容。
我试图阻止的服务在 docker 实例上,但是这个问题没有帮助。
在大多数服务(例如 privoxy)中,有一种干净的方法来获取服务状态:
ps -C [servicename]
然后通过检查退出代码($?):0:服务正在运行 1:未运行 在 ufw 中不是这种情况(未被识别为服务?)sudo service ufw status无论 ufw 是否正在运行,总是以 0 退出。通过用于检查 ufw 状态的命令的退出代码以编程方式获取 ufw 的任何建议?
我正在测试一些东西并在我的防火墙中添加了一条规则以允许端口 9000。回想起来,我应该暂时禁用它。无论如何,我去删除规则,它不会让我,它说规则未找到。
$ sudo ufw delete 9000
ERROR: Could not find rule '9000'
但显然,该规则仍然有效:
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80 ALLOW IN Anywhere
443 ALLOW IN Anywhere
9000 ALLOW IN Anywhere
80 (v6) ALLOW IN Anywhere (v6)
443 (v6) ALLOW IN Anywhere (v6)
9000 (v6) ALLOW IN Anywhere (v6)
我阅读了 UFW 帮助,它说你可以删除一个端口号,但它没有发生。如何从 UFW 中删除端口 9000 的规则?
我有一个 Ubuntu 16.04 AWS 实例,我不小心通过启用 UFW 而不允许 SSH 端口 22 将自己锁定在外面。我创建了一个新实例并将受影响实例的卷安装到它。
现在我可以访问受影响实例的文件系统,如何阻止 UFW 在启动时运行,以便我可以通过 SSH 再次访问该实例?或者,如何通过配置文件允许 SSH 访问端口 22?
我在网上环顾四周,我的文件结构似乎与其他人使用的不匹配。在/media/myDrive/lib/ufw我没有user.rules或user6.rules; 这些在/etc/ufw/. 我已经编辑了user*.rules如下文件以允许访问,但是当我重新启动服务器时,我仍然无法通过 SSH 访问它。
#user.rules
-A ufw-user-input -p tcp --dport 22 -j ACCEPT
-A ufw-user-input -p udp --dport 22 -j ACCEPT
#user6.rules
-A ufw6-user-input -p tcp --dport 22 -j ACCEPT
-A ufw6-user-input -p udp --dport 22 -j ACCEPT
引用自这个 SO 问题:Can't ssh into AWS EC2 after enable firewall
我想更多地了解 ufw 是什么。我会问一些问题,你可以让我知道我是否正确。
ufw 帮助我们阻止连接或允许来自特定 IP 地址或其他地址的连接。我很好奇如果 ufw 未启用(这意味着它处于非活动状态)会发生什么。这是否意味着它允许任何事情?无论我们想要什么?
假设我启用了 ufw,添加一条规则。如果上一个问题的答案是(它允许任何内容,如果它处于非活动状态),那么如果我只有一个规则并且 ufw 处于活动状态,则意味着其他任何内容(在某个端口上侦听的任何类型的服务)都会默认被阻止,并且我必须启用它才能允许它。
谢谢。
我正在尝试使用 portmapper-2.1.1 ( https://github.com/kaklakariada/portmapper ) 来获取到我的 ubuntu 16.04LTS 机器的 upnp 映射。
我已将 UFW 配置为允许所有传出并阻止传入(除了一些特定端口)。
我认为这会起作用,因为我正在 ubuntu 盒子上运行 portmapper(例如,传出),但事实并非如此。我认为这是由于 upnp 寻找客户的设置方式造成的。需要明确的是,在禁用 UFW 的情况下,端口映射器将按预期工作。
我的第一个想法是只允许 upnp 服务“回复”的端口,但这似乎是随机的。例如(来自我的 UFW 日志):
4 月 26 日 19:07:34 [UFW 块] IN=enp2s0 OUT= SRC=192.168.1.1 DST=192.168.1.161 LEN=411 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1900 DPT= 41927 LEN=391
4 月 26 日 19:33:32 [UFW 块] IN=enp2s0 OUT= SRC=192.168.1.1 DST=192.168.1.161 LEN=411 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1900 DPT= 60212 长=391
(192.168.1.1是我的路由器,192.168.1.161是ubuntu盒子)
我不想为此打开大多数/所有端口以接收传入的 udp 数据包,所以问题是:是否有 UFW/iptables 规则允许其工作,而不仅仅是“允许一切”?
我运行的是 Ubuntu 服务器 18.04
\n\n当我做:
\n\nsudo ufw enable\n输出是:
\n\nFirewall is active and enabled on system startup\n但是当我重新启动并运行时:
\n\nsudo ufw status verbose\n输出是:
\n\nStatus: inactive\n我检查了/etc/ufw/ufw.conf:
\n\nENABLED=yes\n我努力了:
\n\n卸载并重新安装 ufw:
\n\nsudo ufw logging off\n\nupdate-rc.d ufw defaults\n\nsudo systemctl enable ufw\n我已经尽力了。任何帮助,将不胜感激。
\n\n编辑:您好,steeldriver,谢谢您的回复。输出是
\n\nsystemctl status ufw.service\n\xe2\x97\x8f ufw.service - Uncomplicated firewall\nLoaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor \npreset: enab\nActive: active (exited) since Tue 2019-02-05 15:01:15 NZDT; 1h 49min \nago\nDocs: …