Ubuntu防火墙ufw常用操作

UFW（Uncomplicated Firewall）是 Ubuntu 系统自带的一款简化的防火墙工具，旨在提供一个用户友好的界面来管理网络流量。它基于 iptables，但通过简化的命令行界面，使得用户更容易配置和使用。

默认情况下，ufw 是禁用的，需要手动启用并配置。

1 UFW 的安装

在大多数 Ubuntu 版本中，UFW 默认已安装。如果未安装，可以通过以下命令进行安装：

【注意】所有操作如果不是管理员用户的话，前面需要添加sudo

sudo apt update
sudo apt install ufw

2 UFW 的常用操作

2.1 启用和禁用ufw

# 启用ufw
root@lige:~# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

# 禁用ufw
root@lige:~# ufw disable
Firewall stopped and disabled on system startup

2.2 检查 UFW 状态

# 查看 UFW 的当前状态及规则：
root@lige:~# ufw status 
Status: inactive

# 使用 verbose 参数可以获得更详细的信息：
# 如果是关闭的，只输出inactive
root@lige:~# ufw status verbose
Status: inactive

# 如果是启用的，会输出详细规则
root@lige:~# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         ALLOW IN    Anywhere                  
22 (v6)                    ALLOW IN    Anywhere (v6)

默认启用22端口。

2.3 设置默认策略

在添加具体规则之前，建议先设置默认策略。默认情况下，UFW 的默认策略是允许所有传入流量和拒绝所有传出流量。可以根据需要更改这些设置：

# 拒绝所有传入流量，允许所有传出流量
root@lige:~# ufw default deny incoming
root@lige:~# ufw default allow outgoing
 

2.4 配置规则

（1）允许特定端口访问

root@lige:~# ufw allow 80
Rule added
Rule added (v6)

（2）使用服务名称添加

root@lige:~# ufw allow ssh
Rule added
Rule added (v6)

（3）允许特定IP访问

例如，允许10.10.10.200的访问：

root@lige:~# ufw allow from 10.10.10.200
Rule added

（4）运行特定IP访问特定端口。

# 允许10.10.10.200访问服务器的22端口
root@lige:~# ufw allow from 10.10.10.200 to any port 22

（5）对特定网络接口设置规则

# 允许 eth0 接口的 HTTP 流量：
root@lige:~# sudo ufw allow in on eth0 to any port 80
Rule added
Rule added (v6)

（6）复杂规则

# 允许某个网段访问对应协议的某个端口
root@lige:~# ufw allow from 192.168.1.0/24 to any port 80 proto tcp
Rule added

（7）拒绝规则

拒绝和允许规则是相反的，很多是将allow改为deny即可

# 拒绝 FTP端口
root@lige:~# ufw deny 21
Rule added
Rule added (v6)

查看规则状态：
root@lige:~# ufw status verbose
 

2.5 删除规则

要删除先前添加的规则，可以在allow前面添加 delete 命令。

例如：删除允许 SSH 的规则和允许80端口的规则：

root@lige:~# ufw delete allow ssh
Rule deleted
Rule deleted (v6)

root@lige:~# ufw delete allow 80

2.6 限制连接

为了防止暴力攻击，可以对某些服务设置限制。以 SSH 为例：

root@lige:~# ufw limit ssh

这样一来，系统会限制来自同一IP 的连接尝试次数。

UFW 是一个强大且易于使用的防火墙工具，非常适合 Ubuntu 用户。通过合理配置 UFW，用户可以有效地保护系统安全，抵御未授权的网络访问。