文章目录
- 一、简介
- 二、安装确认
- 三、服务状态
- 四、规则检查
- 小结
一、简介
在 ubuntu 中常见的防火墙管理工具是ufw、nftables、iptables。其中,ufw的设计目标是为普通用户和管理员提供一种简单的方式来管理 Linux 防火墙规则,而无需深入了解复杂的 nftables 或 iptables 语法。在 Ubuntu 20.04 及以上版本,ufw 默认使用 nftables 后端,而 nftables 则是现代 Linux 系统中 iptables 的替代品或者说是升级版本。ufw 的命令会生成 nftables 规则,写入内核的 Netfilter 框架,实际的防火墙规则仍然由内核的 Netfilter 框架执行。
| 特性 | iptables | nftables | ufw |
|---|---|---|---|
| 设计时间 | 1998 年,较老 | 2014 年,现代 | 2005 年,简化前端 |
| 后端 | Netfilter(直接) | Netfilter(直接) | nftables(Ubuntu 20.04+)或 iptables |
| Systemd 服务 | 无(需 netfilter-persistent) | 有(nftables.service) | 有(ufw.service) |
| 规则持久化 | 手动(iptables-save)或 iptables-persistent | /etc/nftables.conf + nftables.service | /etc/ufw/*.rules + ufw.service |
| 语法复杂度 | 复杂,链和表分离(INPUT、FORWARD) | 统一表结构,灵活 | 简单,隐藏底层细节(ufw allow ssh) |
| 功能 | 过滤、NAT、mangle,IPv4/IPv6 分离等 | 统一 IPv4/IPv6,高级功能(计数、集合) | 简化过滤和 NAT,面向普通用户 |
| 性能 | 较高,但随规则增多变慢 | 优化性能,适合复杂规则 | 依赖后端(nftables/iptables) |
二、安装确认
-
确认是否安装
ufw,新系统一般会默认安装,但不一定启用。dpkg -l | grep ufwii ufw 0.36.1-4ubuntu0.1 all program for managing a Netfilter firewall -
确认是否安装
iptables,一般会默认安装。dpkg -l | grep iptablesii iptables 1.8.7-1ubuntu5.2 amd64 administration tools for packet filtering and NAT -
确认是否安装
nftables,新系统一般会默认安装,但不一定启用。dpkg -l | grep nftablesii libnftables1:amd64 1.0.2-1ubuntu3 amd64 Netfilter nftables high level userspace API library ii libnftnl11:amd64 1.2.1-1build1 amd64 Netfilter nftables userspace API library ii nftables 1.0.2-1ubuntu3 amd64 Program to control packet filtering rules by Netfilter project
三、服务状态
- 检查 ufw 服务,输出状态
active或inactive,分别表示活动与不活动。sudo ufw status verbose - 检查 nftables 服务,同样可以输出
active或inactive状态。sudo systemctl status nftables
四、规则检查
-
查看 iptables 规则
sudo iptables -L -v -n -
查看 nftables 规则
sudo nft list ruleset
小结
以上内容仅作为防火墙工具的简单总结,并不涉及某种工具的具体使用方法,如有其他问题,欢迎在评论区讨论,谢谢!!
——随机森林)
