Ubuntu 再谈 ufw 防火墙规则 时间: 2020-08-10 17:05 分类: 服务器 前言 --- 之所以要再记录一下`ufw`的用法是因为今天突然收到`Hetzner`的滥用邮件报告,说是检测到大量的端口扫描程序。 一开始我还没看懂,以为是自己服务器上跑了`Deluge`的原因。第一次邮件交谈后我简单做了处理,然后又发了邮件给我,这次我终于弄明白了,应该并不是`Deluge`的原因,服务器应该不会限制我的服务器连接数量。 这次有这么一句话: > A lot of the IP adresses listed below are not reachable. 原来说的是服务器有大量对外网的端口扫描,并且很多的扫描ip都是不可访问的,尤其是还有很多内网ip段,可能会造成内网攻击。 至于为什么会出现大量端口扫描,可能是中毒了,但是服务器上文件太多了又不想重装。 他们邮件给我的建议是禁止对局域网段的出口流量。 添加规则 --- 以前一直有个疑问,因为`ufw`一旦打开,默认是关闭所有端口的,所以每次开启之前必须要先把`ssh`端口给放开,不然就可能`ssh`突然掉线,后面根本无法连上服务器。 但是,开启`ufw`后我又不想限制其他所有的端口怎么办,难道手动一个个添加吗、 肯定不能这样做,使用如下命令即可: > ufw allow to any 这样一来就是允许所有端口访问了,然后再进行黑名单设置,这里不再多说入口流量的限制了。 还是要解决今天的问题,那就是限制局域网ip段的出口流量,使用也很简单,比如禁止`192.168.0.0/16`网段的出口流量: > ufw deny out to 192.168.0.0/16 添加规则后用`ping`测试一下即可: > ping 192.168.1.2 PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data. ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted 很明显,我们的配置生效了。 最后就是等待`Hetzner`的处理邮件了,希望通过上面的防火墙规则配置能够解决,不然又得重装系统或者换服务器了。 心累~ 更新一下 --- `ufw`这个防火墙真是无语了,当前的这台服务器上面使用有BUG,每次当我开启防火墙后,很多网站都无法打开了,但是`ping`却又能`ping`通,真是操蛋。 最后改用`iptables`啥问题都没有,命令如下: 首先开启,`Ubuntu`上开启的命令如下是`modprobe ip_tables`,关闭命令: ``` iptalbes -F iptables -X iptables -Z iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT modprobe -r ip_tables ``` 添加出口规则: ``` iptables -A OUTPUT -d 10.0.0.0/8 -j DROP ``` 标签: 无