标签: ufw

我想在我的服务器中屏蔽一个国家，但我不知道我必须在 UFW（或 iptables）中使用哪个规则。例如，来自美国和其他国家/地区的人可以看到该网站，而来自俄罗斯的访问者则不能。有人可以向我解释如何在 UFW 中按国家/地区禁止吗？

我的服务器详情
• Ubuntu 12.10
• Nginx
• phpfpm
• Mysql

我已经使用“sudo ufw enable”在终端中启用了 UFW ......但是，当计算机启动时，UFW 似乎没有启动。

计算机启动后，我使用“sudo ufw status verbose”检查 UFW 的状态......我希望在终端中看到“状态：活动”，但相反，我看到的是“状态：非活动”。

如何强制 UFW 在启动时运行？

谢谢。

我出于商业目的在 VPS 上运行 Ubuntu 14.04。防火墙是使用 ufw 设置的；测试表明它运行良好。我想使用此处描述的技术进一步保护我的服务器：

http://blog.ls20.com/securing-your-server-using-ipset-and-dynamic-blocklists/

如果我要使用 ipsets 来阻止恶意主机试图探测我的服务器的漏洞，UFW 和 ipsets 之间是否有任何已知的冲突可能会导致问题？我知道 ufw 使配置 iptables 更简单。我主要关心的是对 ufw 的影响。使用多个应用程序设置 iptables 是否存在任何已知问题？

尝试设置 gufw，以便在我的 vpn 连接断开时，我的计算机将无法再访问互联网。

我的计划是阻止所有传出，但只允许连接到我的 vpn 服务器的 IP，但是我发现在实施防火墙时，即使 vpn 已连接，我也无法加载站点。

以上是我目前正在尝试的设置（部分隐藏的 IP 是我的 vpn 服务器），我做错了什么？

我的日志中有很多这些条目：

Sep 22 12:20:23 server0187 kernel: [    7.267934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:23 server0187 kernel: [    7.688848] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:24 server0187 kernel: [    7.992988] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep …

我的服务器使用 ufw 来设置一个简单的防火墙。但是，我注意到 ufw 防火墙在重新启动后仍处于禁用状态：ufw status始终报告“已禁用”。

我检查了以下内容：

• 该/etc/ufw/ufw.conf文件包含ENABLED=yes.

• 该服务已正确注册systemctl，在/var/log/syslog文件中我可以看到“启动简单防火墙”这一行，这证明它至少已启动

• 一个非常奇怪的事情是，即使防火墙说它被禁用，系统日志仍然显示审计日志行。

• iptables -L 表明确实所有通常的配置都消失了。

由于某种原因，我需要通过编辑 user.rules 向 ufw 添加规则，当我向其中添加规则并执行 do 时sudo ufw reload，规则消失了。发生这种情况的任何原因以及如何通过手动编辑user.rules文件来添加规则？

我正在尝试使用 portmapper-2.1.1 ( https://github.com/kaklakariada/portmapper ) 来获取到我的 ubuntu 16.04LTS 机器的 upnp 映射。

我已将 UFW 配置为允许所有传出并阻止传入（除了一些特定端口）。

我认为这会起作用，因为我正在 ubuntu 盒子上运行 portmapper（例如，传出），但事实并非如此。我认为这是由于 upnp 寻找客户的设置方式造成的。需要明确的是，在禁用 UFW 的情况下，端口映射器将按预期工作。

我的第一个想法是只允许 upnp 服务“回复”的端口，但这似乎是随机的。例如（来自我的 UFW 日志）：

4 月 26 日 19:07:34 [UFW 块] IN=enp2s0 OUT= SRC=192.168.1.1 DST=192.168.1.161 LEN=411 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1900 DPT= 41927 LEN=391

4 月 26 日 19:33:32 [UFW 块] IN=enp2s0 OUT= SRC=192.168.1.1 DST=192.168.1.161 LEN=411 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1900 DPT= 60212 长=391

（192.168.1.1是我的路由器，192.168.1.161是ubuntu盒子）

我不想为此打开大多数/所有端口以接收传入的 udp 数据包，所以问题是：是否有 UFW/iptables 规则允许其工作，而不仅仅是“允许一切”？

我运行的是 Ubuntu 服务器 18.04

当我做：

sudo ufw enable\n

输出是：

Firewall is active and enabled on system startup\n

但是当我重新启动并运行时：

sudo ufw status verbose\n

输出是：

Status: inactive\n

我检查了/etc/ufw/ufw.conf：

ENABLED=yes\n

我努力了：

卸载并重新安装 ufw：

sudo ufw logging off\n\nupdate-rc.d ufw defaults\n\nsudo systemctl enable ufw\n

我已经尽力了。任何帮助，将不胜感激。

编辑：您好，steeldriver，谢谢您的回复。输出是

systemctl status ufw.service\n\xe2\x97\x8f ufw.service - Uncomplicated firewall\nLoaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor \npreset: enab\nActive: active (exited) since Tue 2019-02-05 15:01:15 NZDT; 1h 49min \nago\nDocs: …

来自源包的自述文件说：

When installing ufw from source, you will also need to integrate it into your
boot process for the firewall to start when you restart your system. Depending
on your needs, this can be as simple as adding the following to a startup
script (eg rc.local for systems that use it):

# /lib/ufw/ufw-init start

For systems that use SysV initscripts, an example script is provided in
doc/initscript.example. See doc/upstart.example for an Upstart example. Consult
your distribution's documentation for the proper …