Linux下，用ufw实现端口关闭、流量控制(二)

本文是
网安小白的端口关闭实践
的续篇。

海量报文，一手掌握，你值得拥有，让我们开始吧～

ufw 与 iptables的关系

理论介绍：

ufw（Uncomplicated Firewall）是一个基于iptables的前端工具，用于简化iptables的配置和管理。它提供了一组简单的命令和规则集，使用户能够更容易地配置和管理防火墙。

iptables是一个内核层的防火墙工具，用于过滤、重定向和修改网络数据包。它提供了非常强大的功能和灵活性，但其命令语法和配置较为复杂。

ufw实质上是对iptables进行了封装，提供了更简单易用的命令和配置接口。用户使用ufw命令时，ufw会自动转化为对iptables的操作命令，并在后台进行配置。因此，ufw在底层还是依赖iptables来实现防火墙规则的生效。

总而言之，ufw是一个基于iptables的简化工具，使用户更方便地配置和管理防火墙。

实践

查看ufw的配置文件

cat /etc/ufw/before.rules
cat /etc/ufw/user.rules

可看到如下文件：

river@star:/etc/ufw$ ls
after6.rules                  before6.rules                  ufw.conf
after6.rules.20241202_150252  before6.rules.20241202_150252  user6.rules
after.init                    before.init                    user6.rules.20241202_150252
after.rules                   before.rules                   user.rules
after.rules.20241202_150252   before.rules.20241202_150252   user.rules.20241202_150252
applications.d                sysctl.conf

before.rules VS after.rules VS ufw.rules

在Ubuntu系统中，/etc/ufw/目录下的不同文件有以下含义：

before.rules：这是ufw防火墙服务在加载之前将要应用的规则文件。它包含了一些系统预定义的规则，可以在这里添加自定义的iptables规则，这些规则将在ufw规则之前被应用。
after.rules：这是ufw防火墙服务在加载之后将要应用的规则文件。它也包含了一些系统预定义的规则，可以在这里添加自定义的iptables规则，这些规则将在ufw规则之后被应用。
user.rules：这是ufw命令行工具自动生成的规则文件。当你使用ufw命令添加或修改防火墙规则时，这些规则会被写入到/etc/ufw/user.rules文件中。这个文件包含了用户自定义的ufw规则，它会在ufw防火墙启动时被读取和加载到iptables规则链中。

需要注意的是，当你使用ufw命令修改防火墙规则时，实际上是修改了/etc/ufw/user.rules文件，然后使用sudo ufw reload命令来重新加载规则，使其生效。而before.rules和after.rules文件则通常用于添加更底层的iptables规则，以满足特定的需求或配置。

执行

sudo ufw deny from any to 127.0.0.1

后，/etc/ufw/user.rules出现下述规则

### tuple ### deny any any 127.0.0.1 any 0.0.0.0/0 in
-A ufw-user-input -d 127.0.0.1 -j DROP

暂未找到下述规则的对应行：

sudo ufw default deny imcoming

规则制定范例

/etc/ufw/before.rules

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
## Don't delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT#
# ufw-not-local
#
-A ufw-before-input -j ufw-not-local# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN# all other non-local packets are dropped
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

端口关闭实践

规则说明

启用ufw后，修改/etc/iptales/rulesv4无效，执行iptables的命令也无效，比如下面这个

sudo iptables -A OUTPUT -p tcp --dport 5556 -j DROP

要想执行iptables，必须关闭ufw
但理论上讲，所有iptables能执行的ufw也能执行

方法1：用ufw关闭，不用自己定义基础规则

上面的命令对应的ufw命令如下：

 sudo ufw deny from 127.0.0.1 to any port 5556

注意，这代表，阻止从本机到任何机器的5556端口

以下才是阻止本机的5556到任何机器的报文

sudo ufw deny from 127.0.0.1 port 5556 to any

方法2：用iptables关闭

修改/etc/iptables/rules.v4如下

# Generated by iptables-save v1.8.10 (nf_tables) on Mon Dec  2 23:18:41 2024
*filter
:INPUT ACCEPT [67:23836]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [66:29316]
-A INPUT -p tcp -m tcp --dport 5556 -j DROP
-A OUTPUT -p tcp -m tcp --dport 5556 -j DROP
COMMIT
# Completed on Mon Dec  2 23:18:41 2024

仅允许特定端口流出实践

问题：ufw 如何禁止本机从80,443以外的端口流出的流量?

sudo ufw default deny outgoing
sudo ufw allow out 80/tcp
sudo ufw allow out 443/tcp
sudo ufw allow out 443/udp
sudo ufw allow out 546/udp
sudo ufw allow out 995/tcp
sudo ufw allow out 853/tcp	#dns over tls
sudo ufw allow out 853/udp	#dns over quic
sudo ufw default deny incoming		# 顺便阻止传入，因为本机不是服务器
sudo ufw default deny forward		# 顺便阻止转发

真实有效，原来ufw也能让浏览器不能接受报文!!

关闭时的防火墙状态；
作用效果：

警告

sudo ufw default deny outgoing可能会导致部分软件无法工作，当然如果不使用某些奇奇怪怪的软件，以上配置大概是足够纯净和安全的！

安全解决方案II

当确保所有软件都是安全时，仅仅这样也是足够的

sudo ufw default deny incoming		# 顺便阻止传入，因为本机不是服务器
sudo ufw default deny forward		# 顺便阻止转发
sudo apt install firewall-config
# 接着在firewall中允许仅仅若干服务

Last Extension: DoH VS DoT

DOH（DNS over HTTPS）和DOT（DNS over TLS）是两种将DNS查询加密的传输协议。

DOH使用HTTPS将DNS查询和响应封装在HTTP请求和响应中，通过常用的端口443进行传输。这意味着DNS查询被加密在TLS隧道中，并且可以与现有的HTTPS流量混合在一起，难以被网络监控或阻止。DOH可以通过使用基于浏览器的解析器或专用的DOH代理来实现。

DOT直接将DNS查询和响应封装在TLS流中，通过指定的端口（默认为853）进行传输。与DOH不同，DOT在应用层提供密钥交换和加密，而不是在HTTP层。它需要专用的DOT代理来将DNS请求发送到加密的DNS服务器进行解析。

总的来说，DOH将DNS查询封装在HTTPS中，可以通过通用的HTTPS端口传输，并且易于与现有的HTTPS流量混合。而DOT直接在TLS流中进行加密，需要专用的DOT代理来处理DNS查询和响应。两者都提供了DNS查询的加密传输，以增强隐私和安全性。