ubuntu的ufw防火墙配置

ubuntu防火墙配置

启用/停止/清空规则

#启用ufw【慎重操作，多次enable，disable，会导致规则叠加，新版本已无该问腿】
ufw enable
#停用ufw【慎重操作，多次enable，disable，会导致规则叠加，新版本已无该问腿】
ufw disable

#清空ufw配置【iptables方式】当ufw增加了一堆错误规则的时候，可以使用iptables来清空所有规则【慎重操作，会直接清除所有规则】
iptables -F
iptables -X
#查看规则是否全部清空
iptables -L

#清空ufw配置【ufw自带方式】【慎重操作，一般不要使用，会清除原来所有的配置，慎重操作】
ufw reset

配置规则

#开放ssh的22端口，允许任何人访问
ufw allow ssh
#开放https的443端口，允许任何人访问
ufw allow 443
#只允许ip段【10.8.0.0/24】访问80端口
ufw allow from 10.8.0.0/24 to any port 80
#只允许ip段【10.8.0.3】访问80端口
ufw allow from 10.8.0.3 to any port 80

#删除规则
ufw delete allow ssh
ufw delete allow 443
ufw delete allow from 10.8.0.0/24 to any port 80
ufw delete allow from 10.8.0.3 to any port 80

enable IP forwarding with UFW

#sudo vim /etc/default/ufw
# Set the default forward policy to ACCEPT, DROP or REJECT. Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="ACCEPT"

#sudo vim /etc/ufw/sysctl.conf
# Uncomment this to allow this host to route packets between interfaces
net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1
net/ipv6/conf/all/forwarding=1

# 重启ufw服务
#sudo service ufw restart

建立nat转发

# 打开/etc/ufw/before.rules
# START OPENVPN RULES
# NAT table rules
*nat
:PREROUTING - [0:0]
:POSTROUTING - [0:0]

# -s 表示源网络，即内网地址；--to-source 为本机ip（这个用来表示内网其他机器，通过这台机器访问外网）
-A POSTROUTING -s 172.19.148.0/24 -j SNAT --to-source 本机ip
# -s 表示源网络，即内网地址；-o 为连接因特网的接口
-A POSTROUTING -s 10.8.0.0/24 -o tun0 -j MASQUERADE

# 这是针对端口9000的转发配置
-A PREROUTING -p tcp --dport 9000 -j DNAT --to-destination 被转发机器的ip:9000
-A POSTROUTING -p tcp -d 被转发机器的ip --dport 9000 -j SNAT --to-source 本机ip

COMMIT
# END OPENVPN RULES