AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 397
Accepted
klew
klew
Asked: 2009-05-01 03:16:42 +0800 CST2009-05-01 03:16:42 +0800 CST 2009-05-01 03:16:42 +0800 CST

如何在 Ubuntu 上设置简单的防火墙?

  • 772

有人可以通过配置示例给出一些简单的步骤,如何在 Ubuntu 上设置简单的防火墙(仅使用控制台)?只应允许 ssh、http 和 https 访问。

firewall linux ubuntu
  • 9 9 个回答
  • 13363 Views

9 个回答

  • Voted
  1. Best Answer
    Nerdfest
    2009-05-01T03:23:56+08:002009-05-01T03:23:56+08:00

    sudo ufw 默认拒绝

    sudo ufw 允许 http

    sudo ufw 允许 https

    sudo ufw 允许 ssh

    sudo ufw 启用

    • 20
  2. Mikeage
    2009-05-01T03:41:00+08:002009-05-01T03:41:00+08:00

    使用这个脚本。

    只需决定是否要允许传入 ICMP (ping)。

    # Clear any existing firewall stuff before we start
    iptables --flush
    iptables -t nat --flush
    iptables -t mangle --flush
    
    # As the default policies, drop all incoming traffic but allow all
    # outgoing traffic.  This will allow us to make outgoing connections
    # from any port, but will only allow incoming connections on the ports
    # specified below.
    iptables --policy INPUT DROP
    iptables --policy OUTPUT ACCEPT
    
    # Allow all incoming traffic if it is coming from the local loopback device
    iptables -A INPUT -i lo -j ACCEPT
    
    # Accept all incoming traffic associated with an established
    # connection, or a "related" connection
    iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # Allow incoming connections
    # SSH
    iptables -A INPUT -p tcp -i eth0 --dport 22 -m state --state NEW -j ACCEPT
    # HTTP
    iptables -A INPUT -p tcp -i eth0 --dport 80 -m state --state NEW -j ACCEPT
    # HTTPS
    iptables -A INPUT -p tcp -i eth0 --dport 443 -m state --state NEW -j ACCEPT
    
    # Allow icmp input so that people can ping us
    iptables -A INPUT -p icmp -j ACCEPT
    
    # Reject all other incoming packets
    iptables -A INPUT -j REJECT
    
    • 14
  3. Hamish Downer
    2009-05-01T05:40:06+08:002009-05-01T05:40:06+08:00

    正如对另一个答案的评论中所述,您不想在允许 ssh 端口之前丢失连接。从手册页:

    “远程管理

    当运行 ufw enable 或通过其 initscript 启动 ufw 时,ufw 将刷新其链。这是必需的,因此 ufw 可以保持一致的状态,但它可能会丢弃现有的连接(例如 ssh)。ufw 确实支持在启用防火墙之前添加规则,因此管理员可以:

    ufw allow proto tcp from any to any port 22
    

    在运行“ufw enable”之前。规则仍将被刷新,但启用防火墙后 ssh 端口将打开。请注意,一旦 ufw 被‘启用’,ufw 在添加或删除规则时不会刷新链(但在修改规则或更改默认策略时会刷新)。”

    所以这是一种使用脚本来设置它的方法。运行此脚本时您将被注销,但运行后您可以通过 ssh 再次登录。

    将以下内容放入脚本中并将其命名为 start-firewall.sh

    #!/bin/sh
    ufw allow ssh
    ufw enable
    ufw default deny
    ufw allow http
    ufw allow https
    

    然后使其可执行并通过执行来运行它

    $ chmod + x start-firewall.sh
    $ sudo ./start-firewall.sh
    

    要了解更多信息,请阅读手册页。

    • 8
  4. spoulson
    2009-05-01T03:55:20+08:002009-05-01T03:55:20+08:00

    如果您熟悉脚本iptables,您将可以完全控制所有防火墙功能。它远不如 Firestarter 友好,但可以在控制台上使用nano/vi编辑器完成。查看面向 Ubuntu的本教程。

    • 2
  5. JP Richardson
    2009-05-01T05:43:44+08:002009-05-01T05:43:44+08:00

    Quicktables 帮助我学习了 iptables 规则。只需运行该脚本,它就会为您生成一个 iptables 脚本……然后您可以打开它并查看它询问您的问题生成的相关命令。这是一个很好的学习资源。

    不幸的是,它不再维护。

    http://qtables.radom.org/

    • 1
  6. Zoredache
    2009-05-01T10:46:00+08:002009-05-01T10:46:00+08:00

    我真的很喜欢使用firehol ( package )。

    要创建您喜欢的设置规则,您需要编辑文件 /etc/default/firehol 并更改 START_FIREHOL=YES

    你想让你的 /etc/firehol/firehol.conf 看起来像这样。

    version 5
    
    interface any IfAll
        client any AnyClient accept
        server "ssh http https" accept
        # Accept everything from trusted networks
        server anystateless AllInside accept src "10.3.27.0/24"
    

    firehol 的一大优点是“尝试”命令。您可以调整您的配置文件并执行“firehol 尝试”,如果您通过 ssh 连接,并且您更改的某些内容杀死了您的网络访问,那么 firehol 将恢复更改。要使更改真正生效,您必须说提交。

    • 1
  7. Artyom Sokolov
    2009-05-01T14:09:43+08:002009-05-01T14:09:43+08:00

    我更喜欢Shorewall。它易于设置,但同时也很灵活。

    • 1
  8. hyperboreean
    2009-05-01T03:23:07+08:002009-05-01T03:23:07+08:00

    也许你应该看看http://iptables-tutorial.frozentux.net/iptables-tutorial.html。您还可以在lartc.org上找到更多信息

    • 0
  9. spoulson
    2009-05-01T03:38:39+08:002009-05-01T03:38:39+08:00

    sudo apt-get install firestarter

    然后,查看系统-> 管理菜单。

    • -1

相关问题

  • 更改 PHP 的默认配置设置?

  • 保护新的 Ubuntu 服务器 [关闭]

  • (软)Ubuntu 7.10 上的 RAID 6,我应该迁移到 8.10 吗?

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    从 IP 地址解析主机名

    • 8 个回答
  • Marko Smith

    如何按大小对 du -h 输出进行排序

    • 30 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    Windows 中执行反向 DNS 查找的命令行实用程序是什么?

    • 14 个回答
  • Marko Smith

    如何检查 Windows 机器上的端口是否被阻塞?

    • 4 个回答
  • Marko Smith

    我应该打开哪个端口以允许远程桌面?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    MikeN 在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 2009-09-22 06:04:43 +0800 CST
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    0x89 bash中的双方括号和单方括号有什么区别? 2009-08-10 13:11:51 +0800 CST
  • Martin Hope
    kch 如何更改我的私钥密码? 2009-08-06 21:37:57 +0800 CST
  • Martin Hope
    Kyle Brandt IPv4 子网如何工作? 2009-08-05 06:05:31 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve