GNU/Linux 簡(jiǎn)易的防火墻 ： UFW & GUFW

UFW

若系統(tǒng)尚未預(yù)載 UFW，請(qǐng)手動(dòng)安裝。

# Debian, Ubuntu
$ sudo aptitude install ufw 

# Arch Linux
$ sudo pacman -S ufw

基礎(chǔ)操作

狀態(tài)查詢，預(yù)設(shè)為閑置 (inactive)。

$ sudo ufw status
Status: inactive

啟動(dòng) UFW 服務(wù) (enable)。

$ sudo ufw enable

預(yù)設(shè) (default) 全部阻擋 (deny)。

$ sudo ufw default deny

允許 (allow) 所有的 ssh 埠口連線。

$ sudo ufw allow ssh

允許來自 127.0.0.1 (本機(jī)) 的 3389 埠口連線 (xrdp)。

$ sudo ufw allow from 127.0.0.1 to any port 3389

狀態(tài)查詢，已成功啟動(dòng) (active) 并加入自定規(guī)則。

$ sudo ufw status
Status: active

To            Action    From
--            ------    ----
22            ALLOW     Anywhere
3389        ALLOW     127.0.0.1

進(jìn)階使用

允許來自 192.168.1.2 上所有連線。

$ sudo ufw allow from 192.168.1.2

允許來自 192.168.2.1 ~ 192.168.2.254 的所有 22 埠口連線。

$ sudo ufw allow from 192.168.2.1/24 to any port 22

阻擋來自 110.88.4.5 的 22 埠口連線。

$ sudo ufw deny from 110.88.4.5 to any port 22

阻擋來自 27.16.3.1 ~ 27.16.3.254 的所有連線。

$ sudo ufw deny from 27.16.3.0/24

GUFW

圖形界面的 GUFW 必須手動(dòng)安裝，但不建議純文字環(huán)境的 GNU/Linux 安裝，它會(huì)與一些桌面環(huán)境 (Desktop Environment) 的套件產(chǎn)生相依性，例如 gir1.2-gtk-3.0, notify-osd ... 等。

# Debian, Ubuntu
$ sudo aptitude install gufw 

# Arch Linux
$ sudo pacman -S gufw

圖形操作

開啟 GUFW：

請(qǐng)于應(yīng)用程序 (Application) -> 系統(tǒng) (System) -> 管理 (Administration) -> 防火墻設(shè)定 (Firewall configuration)開啟；或直接于終端機(jī)輸入指令開啟。

$ gufw

▲ 使用前得先用管理者賬號(hào)解鎖 (Unlock)。

▲ 輸入密碼。

▲ 解鎖后可看到先前自定的規(guī)則，以下為新增規(guī)則之范例。

▲ 可依應(yīng)用程序自定規(guī)則。

▲ 也可自行輸入埠口。

▲ 進(jìn)階設(shè)定里則可依范圍自定規(guī)則。

看完此文后，相信大家都能幫 GNU/Linux 加上一道防護(hù)，但 ufw 這面防護(hù)罩只適合簡(jiǎn)易、單純的環(huán)境，若有 NAT 或更進(jìn)階的使用還請(qǐng)改用 iptable。

資料來源

• CreMaker 的生活雜記: 談?wù)?ufw
• ufw in Launchpad
• UFW - Community Ubuntu Documentation
• Gufw - Community Ubuntu Documentation
• Uncomplicated Firewall - ArchWiki