标签归档:18.04

甲骨文Oracle Cloud免费VPS Ubuntu 18.04/20.04 系统防火墙(UFW和iptables)的正确配置方法

之前写过一篇文章,记录如何配置甲骨文的CentOS 7 系统防火墙(firewalld和iptables)。但是改成Ubuntu系统后,启用UFW防火墙后,发现重启系统后,ufw会变成未激活状态(inavtive),设置的iptables也恢复成了默认状态。下面介绍一下大佬们总结的几种解决办法。

一 甲骨文控制台开放端口

不管哪种办法,先在甲骨文网页控制台开放端口是基本操作。这里复制一下之前的内容。

登陆Oracle Cloud网页后台,进行设置

进入“实例”,点击“实例信息”下的“虚拟云网络”右侧类似“VirtualCloudNetwork-2019****-****”的按钮并进入;

在“(根)区间中的子网”下,如果存在多个类似“公共子网 pbOp:***-**-1 ”的项目列表,就随便点进去一个

在“安全列表”下,点击并进入“Default Security List for VirtualCloudNetwork-2019****-****”。

编辑“入站规则”下“目的地端口范围”为22那条规则,或者参照这条规则新建也可以。
将“目的地端口范围”下的“22”改为“22,80,443”,然后“保存更改”即可。 系统会自动根据添加的IP生成新的两条规则。

注意:每个端口或范围间隔需要英文逗号;如果需要增加UDP端口,就在“IP 协议 ”下选择“UDP”。

二 大佬们的几种方法

2.1 彻底禁用防火墙

简单粗暴,能用就行。不太推荐。

2.1.1 直接删除iptables规则

sudo rm -rf /etc/iptables && reboot

2.1.2 开放所有端口

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -F
sudo apt-get purge netfilter-persistent
reboot

2.2 使用iptables开放端口

这个大佬使用iptalbes开放了必要的端口,可以用。

sudo iptables -I INPUT -s 0.0.0.0/0 -p tcp --dport 8888 -j ACCEPT 
sudo iptables -I INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
sudo iptables -I INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT 
sudo iptables-save
sudo apt-get update
sudo apt-get install iptables-persistent -y
sudo netfilter-persistent save
sudo netfilter-persistent reload

三 如何正确使用UFW

首先理解UFW只是iptables的配置工具,所以想用UFW就不要把iptables删除或禁用,放着不管就好了。但问题是,就如开头所说,重启会使配置失效。下面来说一下正确使用UFW的流程。

3.1 安装相关软件包

sudo apt-get install iptables-persistent netfilter-persistent ufw

3.2 修改UFW启动配置文件

sudo vi /lib/systemd/system/ufw.service

增加一行“After=netfilter-persistent.service”到[Unit]段最后,改成这个样子:

[Unit]
Description=Uncomplicated firewall
Documentation=man:ufw(8)
DefaultDependencies=no
Before=network.target
After=netfilter-persistent.service

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/lib/ufw/ufw-init start quiet
ExecStop=/lib/ufw/ufw-init stop

[Install]
WantedBy=multi-user.target

重启系统。

3.3 正常配置UFW防火墙

按常规方式开放22,80,443端口即可。

sudo ufw reset

sudo ufw default deny incoming
sudo ufw default allow outgoing

sudo ufw allow ssh
sudo ufw allow http
sudo ufw allow https

sudo ufw enable

这样应该就可以了。

Online 独服 Ubuntu 18.04 关闭默认IPV6并额外配置静态IPV6

更新

29191222

qbittorrent在201912更新的4.2.1版本中,在“设置”中添加了“高级”选项卡,可以自定义“网络接口”和“绑定可选的IPv6地址”,解决了问题场景的“新申请配置的ipv6并没有替代默认开通的ipv6”的问题。

20191213

如果参照如下方式配置成功,但出现IPv6失联或失效的情况,请参考这篇文章

问题场景

2019年2月8日起,Online新开通的独服默认开启了IPV6。使用Ubuntu 18.04通过IPV6刷PT,因为这个作业系统可以使用最新版的qbittorrent软体。但是由于qbittorrent有限速缺陷,有一天发现这个IPV6被标记了。于是申请一个新的IPV6,通过目前网络上现有的教程,可以配置成功新的IPV6。问题来了,新申请配置的ipv6并没有替代默认开通的ipv6,而是两者共存。qbittorrent仍然使用系统默认开通的IPV6。

解决思路

官网教程说配置新的IPV6,需要开启SLAAC,否则服务器无法识别默认路由(If disabled, a server will not be able to learn its IPv6 default route)。但是实际上,目前,不管在网页控制台中是否启用“ACTIVATE IPV6 SLAAC”,Online 后台都已经默认开启了SLAAC,并通过路由通告Router Advertisement(RA)配置一个128位的IPV6。

经过多次尝试,解决思路是获取默认路由,申请新IP,配置新IP和路由,具体步骤:

  • 获取默认开启的IPV6路由,实际上只要获取IPV6网关地址即可;
  • 申请新的IPV6地址,先申请/48段,再继续划分为一个/56,并记录/56 IPV6的DUID,用/48的也行;
  • 配置dhclient、dhclient-netplan服务,内容完全照搬大佬的教程
  • 配置netplan:关闭RA,自定义IPV6地址和网关。

操作过程

获取网卡和IPV6路由

系统安装好后,通过以下命令查看IPV6路由,类似如下:

ip -6 route show
2001:1234:5678:1234::/64 dev enp1s0 proto ra metric 100 pref medium

fe80::/64 dev enp1s0 proto kernel metric 256 pref medium

default via fe80::1234:5678:1234:5678 dev enp1s0 proto ra metric 100 mtu 1500 pref medium

获取网卡名称:enp1s0;获得IPV6网关:fe80::1234:5678:1234:5678

申请新的IPV6地址

登录网页控制界面,申请/48段IPV6地址,然后再获取/56段地址,并记录其DUID。比如:

2001:1234:2345:500::/5612:34:56:78:90:ab:cd:ef:12:34

获取IPV6地址:2001:1234:2345:500::/56,在后续使用时,不存在空格;获取DUID:12:34:56:78:90:ab:cd:ef:12:34。

配置dhclient服务

编写dhclient配置文件

sudo vi /etc/dhcp/dhclient6.conf

内容如下:

interface "enp1s0" {
  send dhcp6.client-id 12:34:56:78:90:ab:cd:ef:12:34;
  request;
}

将enp1s0和12:34:56:78:90:ab:cd:ef:12:34改为自己获取的网卡名称和DUID。

编写dhclient服务

sudo vi /etc/systemd/system/dhclient.service

内容为:

[Unit]
Description=dhclient for sending DUID IPv6
Wants=network.target
Before=network.target

[Service]
Type=forking
ExecStart=/sbin/dhclient -cf /etc/dhcp/dhclient6.conf -6 -P -v enp1s0

[Install]
WantedBy=multi-user.target

将enp1s0替换为自己的网卡名称

设置开机启动:

sudo systemctl enable dhclient.service

编写dhclient-netplan服务

sudo vi /etc/systemd/system/dhclient-netplan.service

内容如下:

[Unit]
Description=redo netplan apply after dhclient
Wants=dhclient.service
After=dhclient.service
Before=network.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/netplan apply

[Install]
WantedBy=dhclient.service

设置开机启动:

sudo systemctl enable dhclient-netplan.service

修改netplan配置文件

自定义ipv6地址、网关,并关闭路由通告(RA)。

sudo vi /etc/netplan/01-netcfg.yaml

修改后,最终样式如下:

# This file describes the network interfaces available on your system
# For more information, see netplan(5).
network:
  version: 2
  renderer: networkd
  ethernets:
    enp1s0:
      dhcp4: yes
      accept-ra: no
      dhcp6: no
      addresses:
      - 2001:1234:2345:500::/56
      gateway6: fe80::1234:5678:1234:5678

将2001:1234:2345:500::/56修改为获取的IPV6地址;将fe80::1234:5678:1234:5678修改为获取的IPV6网关;accept-ra: no的作用是不接受RA通告的IPV6,也就是不获得默认的/128位的IPV6。

重启系统,此时应该就可以了。