Ubuntu 防火牆與端口控制

1.掃描端口

用ubuntu自帶的網絡工具中的端口掃描不夠強大，掃描結果可能不全，推薦用nmap，黑客經常使用的端口掃描利器！安裝方法：sudo apt-get install nmap ,想掃描端口nmap後加上域名或者ip便可。下面掃描本地端口：nmap  localhost

2.查看端口進程

命令：sudo lsof -i :port(port改成你要查詢的端口)；

命令：sudo netstat -nap|grep port(最後一行顯示進程號)

3.啓動｜中止｜重啓端口

大致有三種方式

（1）像apache2 ，mysql這樣的端口，直接sudo service apache2 stop(|start|restart)便可

（2）有些端口沒法用服務關閉，能夠考慮sudo /etc/init.d/service start|stop|restart

（3）若是還沒法關閉，再試試殺死進程：sudo kill PID，PID爲端口服務進程號，上面已經介紹了查看進程號的命令。

轉載自滄浪軒

 

開啓端口 ubuntu使用

ubuntu中使用ufw 看是否安裝和啓用:

sudo dpkg --get-selections | grep ufw

sudo apt-get install ufw

 

你應該檢查下 UFW 是否已經在運行

   sudo ufw status

若是你發現狀態是： inactive , 意思是沒有被激活或不起做用。

啓用:

sudo ufw enable

禁用:

sudo ufw disable

在防火牆被激活後，你能夠向裏面添加你本身的規則。若是你想看看默認的規則，能夠輸入

sudo ufw status verbose

 

Status: active

Logging: on (low)

Default: deny (incoming), allow (outgoing)

New profiles: skip

$

默認是不容許全部外部訪問鏈接的。若是你想遠程鏈接你的機器，就得開放相應的端口。例如，你想用 ssh 來鏈接，下面是添加的命令

sudo ufw allow ssh 或者看尼ssh配置的是哪一個端口 直接 sudo ufw allow 22 (通常默認的是22,路徑 看:http://blog.csdn.net/wang794686714/article/details/39100157,最後部分)

 

sudo  ufw status

 

To      Action          From

--      -----------         ------

22      ALLOW           Anywhere

22      ALLOW           Anywhere (v6)

 

若是你有不少條規則，想快速的在每條規則上加個序號數字的話，請使用 numbered 參數。

sudo ufw status numbered

第一條規則的意思是全部經過22端口訪問機器的 tcp 或 udp 數據包都是容許的。若是你但願僅容許 tcp 數據包訪問應該怎麼辦？能夠在服務端口後加個 tcp 參數。下面的示例及相應的輸出。

sudo ufw allow ssh/tcp 或 ufw allow 22/tcp

添加拒絕規則也是一樣的招數。咱們假設你想拒絕 ftp 訪問, 你只需輸入

sudo ufw deny ftp

 

添加特定端口

有時候，咱們會自定義一個端口而不是使用標準提供的。讓咱們試着把機器上 ssh 的 22 端口換成 2290 端口，而後容許從 2290 端口訪問，咱們像這樣添加：

sudo ufw allow 2290

你也能夠把端口範圍添加進規則。若是咱們想打開從 2290到2300 的端口以供 tcp 協議使用，命令以下示：

sudo ufw allow 2290:2300/tcp

樣你想使用 udp 的話，以下操做。

sudo ufw allow 2290:2300/udp

請注意你得明確的指定是 ‘tcp’ 或 ‘udp’，不然會出現跟下面相似的錯誤信息。

ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports

 

 

添加特定 IP

前面咱們添加的規則都是基於 服務程序 或 端口 的，UFW 也能夠添加基於 IP 地址的規則。下面是命令樣例。

sudo ufw allow from 192.168.0.104

 

你也可使用子網掩碼來擴寬範圍。

sudo ufw allow form 192.168.0.0/24

你也可使用子網掩碼來擴寬範圍。

sudo ufw allow form 192.168.0.0/24

 

To      Action          From

--      -----------         ------

Anywhere    ALLOW           192.168.0.104

Anywhere    ALLOW           192.168.0.0 /24

如你所見， from 參數僅僅限制鏈接的來源，而目的（用 To 列表示）是全部地方

sudo ufw allow to any port 22

上面的命令會容許從任何地方以及任何協議均可以訪問22端口。

 

組合參數

對於更具體的規則，你也能夠把 IP 地址、協議和端口這些組合在一塊兒用。咱們想建立一條規則，限制僅僅來自於 192.168.0.104 的 IP ，並且只能使用 tcp 協議和經過 22端口 來訪問本地資源。咱們能夠用以下所示的命令。

sudo ufw allow from 192.168.0.104 proto tcp to any port 22

建立拒絕規則的命令和容許的規則相似，僅須要把 allow 參數換成 deny 參數就能夠。

 

刪除規則

sudo ufw delete allow ftp

 方法二:

 

sudo  ufw delete allow  ssh

 

或者 

 

sudo  ufw delete allow 22 /tcp

 

會出現以下所示的一些錯誤:

 

Could not delete non-existent rule

Could not delete non-existent rule (v6)

 

咱們還有一招。上面已經提到過，能夠序列數字來代替你想刪除的規則。讓咱們試試。

sudo ufw status numbered

而後咱們刪除正在使用的第一條規則。按 「 y 」 就會永久的刪除這條規則。

 

sudo  ufw delete 1

 

Deleting :

Allow from 192.168.0.104 to any port 22 proto tcp

Proceed with operation (y|n)? y

從這些用法中你就能夠發現它們的不一樣。 方法2 在刪除前須要 用戶確認 ，而 方法1 不須要。

 

重置全部規則

 

sudo  ufw reset

 

Resetting all rules to installed defaults. Proceed with operation (y|n)? y

若是你輸入「 y 」， UFW 在重置你的 ufw 前會備份全部已經存在規則，而後重置。重置操做也會使你的防火牆處於不可用狀態，若是你想使用得再一次啓用它。

 

高級功能

正如我上面所說，UFW防火牆可以作到iptables能夠作到的一切。這是經過一些規則文件來完成的，他們只不過是iptables-restore 所對應的文本文件而已。是否能夠經過 ufw 命令微調 UFW 的與/或邏輯來增長 iptables 命令其實就是編輯幾個文本文件的事。

• /etc/default/ufw: 默認策略的主配置文件，支持 IPv6 和 內核模塊。

• /etc/ufw/before[6].rules: 經過 ufw 命令添加進規則以前裏面存在的規則會首先計算。

• /etc/ufw/after[6].rules: 經過 ufw 命令添加進規則以後裏面存在的規則會進行計算。

• /etc/ufw/sysctl.conf: 內核網絡可調參數。

• /etc/ufw/ufw.conf: 設置系統啓動時 UFW 是否可用，和設置日誌級別。

結論

UFW 做爲 iptables 的前端應用，給用戶提供了簡單的接口界面。使用着不須要去記很是複雜的 iptables 語法。UFW 也使用了‘ 簡單英語 ’做爲它的參數。

像 Allow、deny、reset 就是他們當中的一部分。我相信有不少不少 iptables 前端應用，但 UFW 絕對是那些想要快速、簡單的就創建本身的防火牆，並且還很安全的用戶的最佳替代品之一。請輸入 man ufw 查看 ufw 用戶手冊，來了解更多詳情。

via: http://www.tecmint.com/how-to-install-and-configure-ufw-firewall/

譯者：runningwater 校對：Caroline

 

加個廣告：

    各位ITer若是身邊有朋友，親人作工程的，請推薦一下咱們的這個網站 www.17heli.com 免費提供工程信息，同時使用APP能夠提供在線人工客服找項目，介紹人脈，成功率高。謝謝啦。