Ubuntu 用 UFW 限制對外連線

2015-01-24

Ubuntu 用 UFW 限制對外連線

阿舍大部份都只用 ufw 指令來設定防火牆的連入 ( incoming )限制，比較少用 ufw 來管理對外 (out going ) 的連線設定，不過，這二天剛好有需要用到，所以，就來稍微的研究一下，嗯 ....阿舍覺得 ufw 對連外的控制其實也還滿方便的，選項用起來還挺人性化的哩 ! ...

ufw 指令的對外連線控制方式和對內的戶式其實差不多，只是，ufw 在連入的部份只要直接用「allow」和「deny」加上防火牆規則就可以了，而如果是要用來控制對外連線的話，那就要在「allow」和「deny」後面多加一個「out」再加規則就可以了。

而「out」後面可以加三種東西，第一種是直接加上通訊協定名稱或埠號 (PortNumber) 來管理可以對外連接的服務，而第二種則是在「out」後面加上「on」再加上網卡名稱來控制網卡的對外連線能力，最後一種則是在「out」後面加上「to」之後，再附上 IP 位域或網段來控制可以對外連線的對象機器哩 !

下面就是這三種用法的範例，提供參考囉 !

1. 禁止所有對外連線

$ sudo ufw deny out to any

2. 禁止 eth0 網卡對外連線

$ sudo ufw deny out on eth0

3. 允許對外連接 DNS 和 HTTP 服務

$ sudo ufw allow out 53,80/tcp

$ sudo ufw allow out 53,80/udp

4. 禁止連接到 192.168.1.38

$ sudo ufw deny out to 192.168.1.38