网站的安全维护,wordpress默认主题下载地址,国外做多媒体展览的网站,肥东县建设局网站本文是 网安小白的端口关闭实践 的续篇。 海量报文#xff0c;一手掌握#xff0c;你值得拥有#xff0c;让我们开始吧#xff5e; ufw 与 iptables的关系
理论介绍#xff1a;
ufw#xff08;Uncomplicated Firewall#xff09;是一个基于iptables的前端工具#xf…本文是 网安小白的端口关闭实践 的续篇。 海量报文一手掌握你值得拥有让我们开始吧 ufw 与 iptables的关系
理论介绍
ufwUncomplicated Firewall是一个基于iptables的前端工具用于简化iptables的配置和管理。它提供了一组简单的命令和规则集使用户能够更容易地配置和管理防火墙。
iptables是一个内核层的防火墙工具用于过滤、重定向和修改网络数据包。它提供了非常强大的功能和灵活性但其命令语法和配置较为复杂。
ufw实质上是对iptables进行了封装提供了更简单易用的命令和配置接口。用户使用ufw命令时ufw会自动转化为对iptables的操作命令并在后台进行配置。因此ufw在底层还是依赖iptables来实现防火墙规则的生效。
总而言之ufw是一个基于iptables的简化工具使用户更方便地配置和管理防火墙。
实践
查看ufw的配置文件
cat /etc/ufw/before.rules
cat /etc/ufw/user.rules可看到如下文件
riverstar:/etc/ufw$ ls
after6.rules before6.rules ufw.conf
after6.rules.20241202_150252 before6.rules.20241202_150252 user6.rules
after.init before.init user6.rules.20241202_150252
after.rules before.rules user.rules
after.rules.20241202_150252 before.rules.20241202_150252 user.rules.20241202_150252
applications.d sysctl.confbefore.rules VS after.rules VS ufw.rules
在Ubuntu系统中/etc/ufw/目录下的不同文件有以下含义 before.rules这是ufw防火墙服务在加载之前将要应用的规则文件。它包含了一些系统预定义的规则可以在这里添加自定义的iptables规则这些规则将在ufw规则之前被应用。 after.rules这是ufw防火墙服务在加载之后将要应用的规则文件。它也包含了一些系统预定义的规则可以在这里添加自定义的iptables规则这些规则将在ufw规则之后被应用。 user.rules这是ufw命令行工具自动生成的规则文件。当你使用ufw命令添加或修改防火墙规则时这些规则会被写入到/etc/ufw/user.rules文件中。这个文件包含了用户自定义的ufw规则它会在ufw防火墙启动时被读取和加载到iptables规则链中。
需要注意的是当你使用ufw命令修改防火墙规则时实际上是修改了/etc/ufw/user.rules文件然后使用sudo ufw reload命令来重新加载规则使其生效。而before.rules和after.rules文件则通常用于添加更底层的iptables规则以满足特定的需求或配置。
执行
sudo ufw deny from any to 127.0.0.1后/etc/ufw/user.rules出现下述规则
### tuple ### deny any any 127.0.0.1 any 0.0.0.0/0 in
-A ufw-user-input -d 127.0.0.1 -j DROP暂未找到下述规则的对应行
sudo ufw default deny imcoming规则制定范例
/etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
## Dont delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT#
# ufw-not-local
#
-A ufw-before-input -j ufw-not-local# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN# all other non-local packets are dropped
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT# dont delete the COMMIT line or these rules wont be processed
COMMIT端口关闭实践
规则说明
启用ufw后修改/etc/iptales/rulesv4无效执行iptables的命令也无效 比如下面这个
sudo iptables -A OUTPUT -p tcp --dport 5556 -j DROP要想执行iptables必须关闭ufw但理论上讲所有iptables能执行的ufw也能执行
方法1用ufw关闭不用自己定义基础规则
上面的命令对应的ufw命令如下 sudo ufw deny from 127.0.0.1 to any port 5556注意这代表阻止从本机到任何机器的5556端口
以下才是阻止本机的5556到任何机器的报文
sudo ufw deny from 127.0.0.1 port 5556 to any方法2用iptables关闭
修改/etc/iptables/rules.v4如下
# Generated by iptables-save v1.8.10 (nf_tables) on Mon Dec 2 23:18:41 2024
*filter
:INPUT ACCEPT [67:23836]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [66:29316]
-A INPUT -p tcp -m tcp --dport 5556 -j DROP
-A OUTPUT -p tcp -m tcp --dport 5556 -j DROP
COMMIT
# Completed on Mon Dec 2 23:18:41 2024仅允许特定端口流出实践
问题ufw 如何禁止本机从80,443以外的端口 流出的流量?
sudo ufw default deny outgoing
sudo ufw allow out 80/tcp
sudo ufw allow out 443/tcp
sudo ufw allow out 443/udp
sudo ufw allow out 546/udp
sudo ufw allow out 995/tcp
sudo ufw allow out 853/tcp #dns over tls
sudo ufw allow out 853/udp #dns over quic
sudo ufw default deny incoming # 顺便阻止传入因为本机不是服务器
sudo ufw default deny forward # 顺便阻止转发真实有效原来ufw也能让浏览器不能接受报文!!
关闭时的防火墙状态 作用效果
警告
sudo ufw default deny outgoing可能会导致部分软件无法工作当然如果不使用某些奇奇怪怪的软件以上配置大概是足够纯净和安全的
安全解决方案II
当确保所有软件都是安全时仅仅这样也是足够的
sudo ufw default deny incoming # 顺便阻止传入因为本机不是服务器
sudo ufw default deny forward # 顺便阻止转发
sudo apt install firewall-config
# 接着在firewall中允许仅仅若干服务Last Extension: DoH VS DoT
DOHDNS over HTTPS和DOTDNS over TLS是两种将DNS查询加密的传输协议。
DOH使用HTTPS将DNS查询和响应封装在HTTP请求和响应中通过常用的端口443进行传输。这意味着DNS查询被加密在TLS隧道中并且可以与现有的HTTPS流量混合在一起难以被网络监控或阻止。DOH可以通过使用基于浏览器的解析器或专用的DOH代理来实现。
DOT直接将DNS查询和响应封装在TLS流中通过指定的端口默认为853进行传输。与DOH不同DOT在应用层提供密钥交换和加密而不是在HTTP层。它需要专用的DOT代理来将DNS请求发送到加密的DNS服务器进行解析。
总的来说DOH将DNS查询封装在HTTPS中可以通过通用的HTTPS端口传输并且易于与现有的HTTPS流量混合。而DOT直接在TLS流中进行加密需要专用的DOT代理来处理DNS查询和响应。两者都提供了DNS查询的加密传输以增强隐私和安全性。
