如何从FirewallD切换防火墙UFW

这里是一个快速教程如何从FirewallD,在Fedora和CentOS的默认防火墙迁移到不复杂的防火墙(UFW)。UFW是在Ubuntu默认的防火墙,并具有需要更少的打字更加直观的命令。

无论UFW和FirwallD是Linux内核的前端iptables的防火墙系统。这样的前端程序的目标是使底层程序更易于管理。我有相比UFW和FirewallD在过去的更多细节。

然而,正如我在上的文章反映在沉默的mDNS:UFW确实在制造一个更好的工作iptables的比FirewallD访问。它的命令是更直观,更容易记忆。

你需要做的第一件事就是安装UFW包您的系统上。这是需要Fedora的命令:

DNF安装UFW

你会想要做准备迁移接下来的事情是导出当前FirewallD规则集。对于大多数系统,所有你需要的就是采取暴露于互联网服务的音符。下面的命yabo亚博体育下载令将显示您FirewallD规则集的摘要:

防火墙CMD --permanent --list-ALL

你会做的最后一件事情前的准备,我们做任何系统更改其审查开放侦听套接字。这些是可以在互联网上达到,如果防火墙没有阻止访问这些服务。下面的命yabo亚博体育下载令会给你所有的监听网络套接字的列表:

netstat -lpn -inet

套接字监听任何你的公网IP地址,或者特殊0.0.0.0::地址是公开访问的一次。使服务应该可以和你想阻止访问为其计划。您也可以暂时禁用一些敏感的服务,同时修改系统防火墙。

一旦确定了希望允许哪些端口/服务通过防火墙,就可以继续了。

第一步是禁用FirewallD服务。有两个服务试图管理iptables的同时可以使你的问题堆。使用以下yabo亚博体育下载命令停止FirewallD和禁用在启动时的服务:

systemctl禁用--now firewalld.service

然后,您应该启用该服务前加了一个最小的规则,你不复杂的防火墙。下面是防yabo亚博体育下载火墙规则通过发行其作为命令创建的。第一规则配置防火墙来阻止除了那些由其他防火墙规则特别允许-列出的每个传入的连接:

UFW默认拒绝呼入

所述第二规则允许从每30秒的时间间隔相同的源IP端口22 6个传入连接到SSH服务:

UFW限制在22 / TCP评论“速率限制SSH”

你不能在UFW调整限速设置。但是,默认是明智的很多公共服务,包括SSH,SMTP,XMPP,和最小的HTTP服务。注意,男人UFW页说,限制规则仅适用于IPv4的工作。这还没有被0.33版的情况。我已经证实,仅使用IPv6与问题限制在0.35版本的规则是,文件尚未更新。这个问题是在UFW的即将到来的版本。

评论在第二条规则命令中使用的参数是可选的,但我建议始终输入注释。你会感谢自己的投入现在的工作,当你检查你的防火墙规则,另外六个月。

第三个规则允许从私人VNC连接10.0.0.0/8IP子网:

UFW允许tcp协议从10.0.0.0/8到任何端口5900

UFW always allows some essential incoming connections by default — like DHCP and IPv6 RA and for network auto-configuration — unless explicitly blocked with拒绝规则。

您现在可以使用以下命令启用UFW服务:yabo亚博体育下载

systemctl使--now ufw.service UFW状态

该状态的命令是可选的,但会给你当前活动的防火墙配置的概述。

然后,您可以根据您什么服务,以允许通过防火墙的笔记添加更多的规则。该男人UFW文档是优秀的,但更易于读取其男人防火墙CMD当量。

担心你已经封锁东西,你不应该?以下命令yabo亚博体育下载将列出有关它来自哪里,目的端口信息的任何阻断的连接:

journalctl -t内核-fag “UFW BLOCK”

请注意,你不会需要重新加载防火墙配置,FirewallD风格,以使更改生效。在UFW更改将立即生效。

来源

  • UFW手册页杰米Strandboge,Ubuntu的联机帮助库,典型