< OS 有关 > Ubuntu 实践:iptables-persistent 和 ufw 因都会管理 iptables 规则,会软件冲突,使用 ufw 来管理路由配置方法

已于 2025-02-03 03:01:14 修改
阅读量617 收藏 9
点赞数 13
分类专栏: OS有关 网络应用 文章标签: ufw 防火墙 路由配置 Ubuntu Linux 网络安全
于 2025-02-03 02:41:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/davenian/article/details/145425115
版权

原因:

如标题,iptables-persistent 和 ufw 只能有一个。 usw 主机在公网上直连,安全最重要。保留 ufw后, openxxv的路由就有问题。
如果使用 iptables 设置规则转发,因为没有 iptables-persistent 来保存规则 ,重起后配置丢失,OpenXXN 连接的主机,不能访问外网。

需要再次添加 ip 转发规则:


sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

环境:

Mermaid 代码见:附1

US 主机是直接到公网,主机要有防火墙来屏蔽有危险访问。

US主机(主要)网口信息如下:

  • 主网口:eth0 公网 IP
  • OpenxxN:tun0 网段 10.9.0.0/24
  • tailscale:tailscale0 网段 100.0.0.90/32
  • docker:docker0 网段 172.17.0.1/16

在公网服务器上正确配置 UFW 防火墙的步骤

1. 安装 ufw

apt update
apt install ufw

2. 开放必要端口

ufw allow ssh
ufw default deny incoming    # 默认拒绝所有入站连接
ufw default allow outgoing   # 默认允许所有出站连接
ufw allow https      # 允许连接 443端口
ufw allow 1194/udp   # 允许连接 OpenXXN

3. 配置转发规则

1) 修改默认转发策略为允许

sed -i 's/DEFAULT_FORWARD_POLICY="DROP"/DEFAULT_FORWARD_POLICY="ACCEPT"/g' /etc/default/ufw

2) 编辑 /etc/ufw/before.rules 配置 NAT 规则

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.9.0.0/24 -o eth0 -j MASQUERADE
COMMIT

一定要在开头添加, 这是的 IP 是 OpenXXN 的网段

4. 开启 IP 转发

echo 1 > /proc/sys/net/ipv4/ip_forward

5. 启用防火墙 ufw

ufw enable

6. 测试

# 查看防火墙状态
ufw status verbose

# 查看 NAT 规则
iptables -t nat -L

# 检查转发策略
grep FORWARD /etc/default/ufw

总结:

UFW (Uncomplicated Firewall) 是一款在 Linux 系统上广泛使用的简单易用的防火墙工具。防火墙作为保护服务器的第一道防线,能够有效地阻止未经授权的访问和潜在的网络攻击。正确配置 UFW 防火墙,以提高服务器的安全性。请记住,根据您的实际需求,开放必要的端口和服务,并定期检查防火墙配置,以确保服务器始终处于安全状态。

注意事项

  • 在配置防火墙时,请务必谨慎操作,避免因配置错误导致无法登录服务器。
  • 建议定期更新 UFW 和其他安全软件,以获取最新的安全补丁。
  • 除了 UFW,如 Fail2ban,来进一步提高服务器的安全性。

附件:

附1:

<!DOCTYPE html>
<html>
<head>
    <title>Network Topology</title>
    <!-- 从 CDN 加载 Mermaid -->
    <script src="https://cdnjs.cloudflare.com/ajax/libs/mermaid/10.6.1/mermaid.min.js"></script>
</head>
<body>
    <div class="mermaid">
        graph LR
            Client[OpenXXN 客户端]
            XXN[OpenXXN 服务器\n10.9.0.0/24]
            Docker[Docker 网络\n172.17.0.0/16]
            Internet[互联网\n8.8.8.9/24]
            WG[Tailscale 私有网络\n100.0.0.90/10]
            
            Client -->|XXN 隧道| XXN
            XXN -->|NAT| Internet
            
            Tailscale网络客户端 -->|WG 隧道| Internet
            Docker -->|NAT| Internet

            Internet -->|WG 隧道| WG

            subgraph US主机
                XXN
                Docker
                Tailscale网络客户端
                        
            end

            style US主机 fill:#f9f,stroke:#333,stroke-width:2px
    </div>

    <script>
        mermaid.initialize({
            startOnLoad: true,
            theme: 'default',
            themeCSS: '.node rect { fill: #fff; }',
            flowchart: {
                curve: 'basis'
            }
        });
    </script>
</body>
</html>

iptables-web-gui:死项目 - 改用 ufw
07-12
iptables-web-gui 用于 iptables 的基于轻量级网站的 GUI特征简单的零配置用普通 PHP 编写(零依赖) 干净的界面即时编辑规则,无需存储支持所有链的过滤器和 nat 表要求PHP 5.3 或更高版本ssh2 扩展当然还有远程...
ubuntu/linux服务器 使用ufw iptables 开启防火墙和端口
wto882dim的博客
02-20 3617
ubuntu/linux 开启服务器端口
iptables命令的坑
coderYJ的博客
12-25 609
这几天在修复漏洞发现,屏蔽端口和 ubuntu下面的 iptables存在一些坑技术交流。
使用iptables-persistent持久化iptables规则
热门推荐
bendanzhu的博客
04-26 1万+
正常情况下,我们写入的iptables规则在系统重启时消失。即使我们使用iptables-save命令将iptables规则存储到文件,在系统重启后也需要执行iptables-restore操作来恢复原有规则。(当然,你也可以通过在network中的if.post.up.d中配置启动规则来达到开机自动启动iptables方法) 这里我们有一个更好的iptables持久化方案,让防火墙
ufw-docker-automated:使用UFW管理Docker容器防火墙
02-06
这与Ubuntu / Debian的ufw防火墙管理器发生冲突,并使其变得无用。 (换句话说,在Centos / Redhat / Fedora的firewalld )。ufw不知道他们的秘密谈话,只做他所知道的。 这在UFW和Docker防火墙问题上造成了很大的...
解决docker安装完成报:bridge-nf-call-iptables is disabled问题
01-20
centos机器 docker安装完成后,输入docker info命令,报如下警告信息解决方法: 1)警告信息如下: WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled 2)解决方法: ...
docker-iptables-restore:将iptables推送到docker主机时,可能破坏docker创建的现有规则。 备份并稍后还原这些规则
05-14
docker-iptables-restore.sh Bash脚本,仅将FORWARD,DOCKER和DOCKER-ISOLATION链中的相关规则还原到FILTER表(与您刚刚推送至系统的规则混合)存在,它将跳过该操作并使用您已推送的地址,否则从以前还原该主机上已...
iptables-firewall:iptables 规则生成和管理脚本
07-10
iptables 防火墙高机能iptables设定スクリプト。 ======================= PACKET FLOW EXAMPLE========================= config == ROLES=(SSH) SSH=(BLOCK_COUNTRY "file{1,2}|TRACK_PROWLER|DROP" LOCAL_COUNTRY...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8671
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于Atmega128AU的热电偶温度采集与PID加热控制高精度数据采集系统设计
04-11
内容概要:本文详细介绍了基于Atmega128AU微控制器的高精度温度采集与PID加热控制系统的设计与实现。系统采用两片AD7732进行24位高精度数据采集,配合MAX31856实现热电偶温度测量,并通过PID算法对加热过程进行精确控制。文中详细描述了各个组件的配置方法、代码实现以及抗干扰措施,确保系统的高精度和稳定性。此外,系统支持Modbus RTU通信协议,便于远程监控和调试。 适合人群:具有一定嵌入式开发经验的研发人员和技术爱好者。 使用场景及目标:适用于需要高精度温度控制的工业应用场景,如实验室、热处理炉等。目标是实现稳定的温度采集和精准的加热控制,同时具备良好的抗干扰性能。 其他说明:文中提供了详细的代码片段和配置指南,帮助读者理解和复现系统设计。强调了硬件选择、软件实现和抗干扰设计的重要性,确保系统能够在复杂环境中稳定运行。
蓝桥杯C++程序设计本科B组题目
04-11
蓝桥杯c ++资源。蓝桥杯C++程序设计本科B组题目。
基于DSP28X的无速度矢量控制与飞车启动的C语言实现及优化
04-11
内容概要:本文详细介绍了无速度矢量控制(Sensorless Vector Control)和飞车启动(Flying Start)的技术实现及其优化方法,特别针对TI公司的DSP28X系列处理器进行了深入探讨。文中首先讲解了飞车启动的关键技术,如滑模观测器的应用,通过符号函数和三目运算符实现高效控制,解决了电机自由旋转时的传统难题。接着讨论了全速域追踪的实现,利用自适应滤波器进行角度补偿,确保低速高精度和高速稳定性的平衡。此外,文章还展示了如何将算法封装成Simulink可调用的S函数模块,便于调试和移植。最后,针对代码移植过程中常见的问题提供了具体的解决方案,如IQmath库的使用技巧、PWM中断优化以及硬件依赖的抽象化处理。 适合人群:具备嵌入式系统开发经验,尤其是熟悉DSP和电机控制领域的工程师和技术人员。 使用场景及目标:①适用于需要高性能电机控制系统的工业应用场景,如风机、洗衣机、电动工具等;②帮助工程师理解和掌握无速度矢量控制和飞车启动的核心技术和优化方法,提高系统的可靠性和性能。 其他说明:本文不仅提供了详细的代码实现,还分享了许多实用的经验和技巧,对于希望深入了解电机控制算法并应用于实际项目的开发者非常有帮助。
中兴光猫G7610V2-V3.0.0P1N12固件
04-11
中兴光猫G7610V2-V3.0.0P1N12固件
.NET Core外卖订餐系统:基于EF Core与Vue.js的企业级应用开发
04-11
内容概要:本文详细介绍了如何使用 .NET Core 和 Vue.js 开发一个完整的外卖订餐系统。该系统分为后台管理系统和前台客户系统,采用的技术栈包括 .NET Core、EF Core Code First、Vue.js 和 Element UI。后台部分重点讲解了如何使用 .NET Core 创建 Web API 并通过 EF Core Code First 操作数据库,涵盖数据库设计、API 设计、权限管理等内容。前台部分则展示了如何利用 Vue.js 和 Element UI 构建用户友好的交互界面,包括动态表单、图片上传等功能。此外,文章还讨论了一些常见的开发陷阱和技术难点,如数据库查询优化、订单状态机、JWT 认证等。 适合人群:具备一定编程基础,特别是对 .NET Core 和 Vue.js 有一定了解的研发人员。 使用场景及目标:适用于希望深入理解前后端分离架构、企业级应用开发流程的学习者。通过实际项目的开发,掌握 .NET Core 和 Vue.js 的核心技术,提升解决实际问题的能力。 其他说明:文中提供了详细的代码示例和最佳实践建议,帮助开发者更好地理解和应用所学知识。同时,项目结构清晰,有助于初学者逐步掌握复杂的开发技巧。
MATLAB实现DBN-RBF深度置信网络结合RBF神经网络多输入单输出回归预测的详细项目实例(含完整的程序,GUI设计和代码详解)
04-11
内容概要:本文介绍了MATLAB实现DBN-RBF深度置信网络结合RBF神经网络多输入单输出回归预测的详细项目实例。项目旨在通过深度置信网络(DBN)和径向基函数神经网络(RBF)的结合,设计出一种高效的回归预测模型,以应对高维数据和非线性关系的挑战。DBN用于无监督特征提取,RBF用于快速回归,两者结合显著提升了预测精度和模型泛化能力。文中详细描述了项目的背景、目标、挑战、解决方案、模型架构、代码实现、GUI设计、性能评估及未来改进方向。 适合人群:具备一定编程基础,对机器学习和深度学习有一定了解的研发人员,尤其是从事金融预测、医疗健康、智能制造等领域的工程师和技术人员。 使用场景及目标:①解决高维数据的特征提取难题,提升非线性回归的拟合精度;②通过无监督学习与快速训练能力的结合,提高模型的预测精度和泛化能力;③应用于金融预测、医疗健康、智能制造等多个领域,提供高效的回归预测工具;④通过实时数据流处理和GPU加速推理,确保系统在实时应用中的快速响应。 其他说明:此项目不仅提供了详细的理论分析和代码实现,还涵盖了系统架构设计、模型部署与应用、安全性与用户隐私保护等方面的全面指导。通过结合其他深度学习模型、多任务学习、增量学习等技术,项目具备广阔的扩展性和应用前景。系统还支持自动化CI/CD管道、API服务与业务集成、前端展示与结果导出等功能,确保了系统的高可用性和易用性。
工业自动化中两轴同步控制的高精度实现及其应用
04-11
内容概要:本文详细介绍了在工业自动化领域中,针对高速缠绕与横向动作往返排线进给设备的两轴同步控制技术。主要内容涵盖硬件配置、动态补偿算法、配方管理、气缸控制以及速度滤波等方面的技术细节。文中强调了通过动态补偿算法将往返误差控制在极小范围内,利用结构体数组存储不同线径的工艺参数,确保不同型号间的快速切换,并采用二阶滤波算法降低机械冲击。此外,还讨论了气缸与运动轴的协同控制,确保物料夹持的精确性和稳定性。最终实现了两轴同步误差控制在3个脉冲以内,良品率达到99.8%以上的优异表现。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是对两轴同步控制有深入研究的需求者。 使用场景及目标:适用于需要高精度同步控制的工业生产设备,如绕线机、切割机等。主要目标是提高生产效率和产品质量,减少因同步误差导致的产品缺陷。 其他说明:文章不仅提供了详细的代码实现,还分享了许多实际调试的经验教训,强调了现场实测数据的重要性。同时,展示了系统的高度移植性,能够在不同品牌的PLC上快速部署和调试。
SMS网格软件 10.0
最新发布
04-11
建模前期用到的打网格软件SMS10.0,非常好用,解压安装无需破解
电子硬件开发:白光JBC245/T12/936-A1321/A1322 OLED焊台控制板四合一开发资料详解
04-11
内容概要:本文详细介绍了白光JBC245/T12/936-A1321/A1322 OLED焊台控制板的开发资料,涵盖完整的C语言程序、原理图、PCB设计文件以及相关照片。资料中不仅提供了详细的硬件设计方案,如电源部分、传感器接口、OLED显示模块等,还包括了关键的PID温度控制算法、状态机式的菜单系统设计、硬件SPI驱动等软件实现细节。此外,文中还特别提到了一些开发中的注意事项和技术技巧,如抗积分饱和、温度响应优化、热电偶信号处理等。 适合人群:电子爱好者、硬件开发工程师、嵌入式系统开发者。 使用场景及目标:适用于想要深入了解焊台控制板设计与实现的技术人员,帮助他们快速掌握从硬件设计到软件编程的全流程,提高开发效率,减少调试时间。同时,也为新手提供了一个很好的学习平台,通过实际案例加深对嵌入式系统开发的理解。 其他说明:资料包内含完整的源代码、原理图、PCB设计文件及校准文档,支持多种焊咀类型的自动识别和温度控制,确保了系统的灵活性和实用性。
ubuntu的终端中通过iptables配置规则链允许本机开放tcp端口5000-6000
12-17
Ubuntu的终端中,你可以使用iptables(Internet Packet Tracking)工具来配置防火墙规则链来允许本机的TCP端口5000到6000。以下是基本步骤: 1. 打开终端:`Ctrl + Alt + T` 2. 首先,确保已经安装了iptables-persistent包,如果未安装,可以运行以下命令: ``` sudo apt-get update && sudo apt-get install iptables-persistent ``` 3. 激活iptables-persistent,使其设置在重启后依然生效: ``` sudo service iptables save ``` 4. 接下来,进入iptables编辑模式: ``` sudo ufw allow in on eth0 to any port 5000:6000/tcp ``` 这里假设你的网络接口为eth0。如果你不确定,可以用`ifconfig`或`ip addr show`命令查看。 5. 如果你想确认规则是否添加成功,并查看当前的iptables规则,可以输入: ``` sudo ufw status numbered ``` 注意:上述操作是在系统级别进行的,所以不需要重启服务也能应用这些规则。如果你想立即生效而不保存到下次启动,可以直接使用`ufw allow ...`命令,然后运行`sudo ufw reload`来刷新规则
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值