【樹莓派】配置樹莓派防火牆

在使用樹莓派的時候，咱們可能受到這樣的事情任務，須要爲產品配置防火牆，只容許部分端口訪問.....等此類需求。

其實樹莓派上面配置基本的防火牆很簡單，固然你若是是要精細化的去限制某些具體服務，端口等的訪問，那就須要再深刻研究一下。

本文簡要就Raspberry內置的防火牆ufw設置和啓用基本的一些使用作點描述；

 

ufw是一個主機端的iptables類防火牆配置工具，比較容易上手。若是你有一臺暴露在外網的樹莓派，則可經過這個簡單的配置提高安全性。

安裝方法

sudo apt-get install ufw

固然，這是有圖形界面的(比較簡陋)，在新立得裏搜索gufw試試……  

使用方法

 啓用

sudo ufw enable
sudo ufw default deny

做用：開啓了防火牆並隨系統啓動同時關閉全部外部對本機的訪問（本機訪問外部正常）。

關閉

sudo ufw disable

　　

查看防火牆狀態

sudo ufw status

　　 

開啓/禁用相應端口或服務舉例  

sudo ufw allow 80 
容許外部訪問80端口

sudo ufw delete allow 80 
禁止外部訪問80 端口

sudo ufw allow from 192.168.1.1 
容許此IP訪問全部的本機端口

sudo ufw deny smtp 
禁止外部訪問smtp服務

sudo ufw delete allow smtp 
刪除上面創建的某條規則

ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 
要拒絕全部的流量從TCP的10.0.0.0/8 到端口22的地址192.168.0.1

 

能夠容許全部RFC1918網絡（局域網/無線局域網的）訪問這個主機（/8,/16,/12是一種網絡分級）：

sudo ufw allow from 10.0.0.0/8

sudo ufw allow from 172.16.0.0/12

sudo ufw allow from 192.168.0.0/16

　　

 

推薦設置

sudo apt-get install ufw

sudo ufw enable

sudo ufw default deny

 

這樣設置已經很安全，若是有特殊須要，可使用sudo ufw allow開啓相應服務。

================

 

Ubuntu防火牆 UFW 設置

1.安裝

sudo apt-get install ufw

 

2.啓用

sudo ufw enable

sudo ufw default deny

 

運行以上兩條命令後，開啓了防火牆，並在系統啓動時自動開啓。關閉全部外部對本機的訪問，但本機訪問外部正常。

3.開啓/禁用

sudo ufw allow|deny [service]

打開或關閉某個端口，例如：

sudo ufw allow smtp　容許全部的外部IP訪問本機的25/tcp (smtp)端口

sudo ufw allow 22/tcp 容許全部的外部IP訪問本機的22/tcp (ssh)端口

sudo ufw allow 53 容許外部訪問53端口(tcp/udp)

sudo ufw allow from 192.168.1.100 容許此IP訪問全部的本機端口

sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

sudo ufw deny smtp 禁止外部訪問smtp服務

sudo ufw delete allow smtp 刪除上面創建的某條規則

 

4.查看防火牆狀態

sudo ufw statu

 

s

通常用戶，只需以下設置：

sudo apt-get install ufw

sudo ufw enable

sudo ufw default deny

 

以上三條命令已經足夠安全了，若是你須要開放某些服務，再使用sudo ufw allow開啓。

開啓/關閉防火牆 (默認設置是’disable’)

sudo ufw enable|disable

 

轉換日誌狀態

sudo ufw logging on|off

　　

設置默認策略 (好比 「mostly open」 vs 「mostly closed」)

sudo ufw default allow|deny

　　

許可或者屏蔽端口 (能夠在「status」 中查看到服務列表)。能夠用「協議：端口」的方式指定一個存在於/etc/services中的服務名稱，也能夠經過包的meta-data。 ‘allow’ 參數將把條目加入 /etc/ufw/maps ，而 ‘deny’ 則相反。基本語法以下：

sudo ufw allow|deny [service]

　　

顯示防火牆和端口的偵聽狀態，參見 /var/lib/ufw/maps。括號中的數字將不會被顯示出來。

 

sudo ufw status

UFW 使用範例：

容許 53 端口

$ sudo ufw allow 53

禁用 53 端口

$ sudo ufw delete allow 53

容許 80 端口

$ sudo ufw allow 80/tcp

禁用 80 端口

$ sudo ufw delete allow 80/tcp

容許 smtp 端口

$ sudo ufw allow smtp

刪除 smtp 端口的許可

$ sudo ufw delete allow smtp

容許某特定 IP

$ sudo ufw allow from 192.168.254.254

刪除上面的規則

$ sudo ufw delete allow from 192.168.254.254

 

FAQ 有人遇到啓動個失敗的問題：

這個開機自啓不須要寫到/etc/rc.local中，由於ufw自己是開機自啓動的。
若是ufw啓動失敗，多是下載國外資源不完整的問題，能夠卸掉從新安裝：
sudo apt-get --purge remove ufw

sudo apt-get install ufw
安裝時候須要注意，若是安裝失敗，則從新install幾回；

安裝以後啓動防火牆
sudo ufw enable
sudo ufw default deny

檢查系統啓動項
sudo chkconfig --add ufw