Debian Context中如何管理防火墙规则

Debian Context中防火墙规则管理指南（以ufw为主，兼顾iptables）

一、常用工具选择

Debian系统中管理防火墙规则的主流工具为ufw（Uncomplicated Firewall）（推荐新手使用）和iptables（底层工具，适合高级配置）。其中，ufw基于iptables封装，提供更简洁的命令接口，适合日常管理；iptables则需手动配置规则文件，灵活性更高但操作复杂。

二、使用ufw管理防火墙规则

1. 安装ufw

若系统未预装ufw，可通过以下命令安装：

sudo apt update
sudo apt install ufw

2. 启用/禁用ufw

• 启用ufw（默认拒绝所有入站连接，允许所有出站连接）：

  sudo ufw enable
  

  系统会提示确认，输入y并按回车键生效。
• 禁用ufw（关闭防火墙，慎用）：

  sudo ufw disable
  

3. 配置默认策略

设置默认策略可快速定义未明确匹配规则的流量行为（建议新手采用）：

sudo ufw default deny incoming  # 拒绝所有入站连接（默认）
sudo ufw default allow outgoing # 允许所有出站连接（默认）

4. 添加/删除具体规则

• 允许特定端口（如HTTP 80、HTTPS 443、SSH 22）：

  sudo ufw allow 80/tcp    # 允许TCP端口80（HTTP）
  sudo ufw allow 443/tcp   # 允许TCP端口443（HTTPS）
  sudo ufw allow 22/tcp    # 允许TCP端口22（SSH）
  

• 允许特定IP访问（如允许IP 192.168.1.100访问所有端口）：

  sudo ufw allow from 192.168.1.100
  

• 拒绝特定端口/服务（如拒绝FTP 21端口）：

  sudo ufw deny 21/tcp
  

• 删除规则（如删除允许端口80的规则）：

  sudo ufw delete allow 80/tcp
  

5. 查看规则状态

• 查看简要状态（显示已启用的规则）：

  sudo ufw status
  

• 查看详细状态（包含规则序号、端口、协议、来源等）：

  sudo ufw status verbose
  

6. 保存与重载规则

ufw规则默认会自动保存到/etc/ufw/ufw.conf，修改后无需手动保存。若需重新加载规则（如修改before.rules自定义规则后）：

sudo ufw reload

三、使用iptables管理防火墙规则（高级场景）

1. 安装iptables

若需使用iptables，可通过以下命令安装：

sudo apt update
sudo apt install iptables

2. 查看当前规则

sudo iptables -L -n -v  # 列出所有规则（-L：列表；-n：数字格式；-v：详细信息）

3. 配置基本规则

• 允许已建立的连接（避免中断现有会话）：

  sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  

• 允许本地回环接口（本地服务通信必需）：

  sudo iptables -A INPUT -i lo -j ACCEPT
  

• 允许特定端口（如SSH 22、HTTP 80、HTTPS 443）：

  sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  

• 设置默认策略（拒绝所有未匹配的入站连接）：

  sudo iptables -P INPUT DROP
  sudo iptables -P FORWARD DROP  # 可选：拒绝转发流量
  sudo iptables -P OUTPUT ACCEPT # 允许所有出站连接
  

4. 保存与恢复规则

Debian默认不自动保存iptables规则，需通过以下方式持久化：

• 安装iptables-persistent（自动保存规则）：

  sudo apt install iptables-persistent
  

  安装过程中选择“是”以保存当前规则。
• 手动保存/恢复规则：

  sudo iptables-save > /etc/iptables/rules.v4  # 保存规则到文件
  sudo iptables-restore < /etc/iptables/rules.v4  # 从文件恢复规则
  

5. 配置开机自动加载

通过创建启动脚本实现开机自动加载规则：

sudo vim /etc/network/if-pre-up.d/iptables

添加以下内容：

#!/bin/sh
/sbin/iptables-restore < /etc/iptables/rules.v4

赋予执行权限：

sudo chmod +x /etc/network/if-pre-up.d/iptables

四、注意事项

1. 备份规则：修改规则前建议备份（如sudo cp /etc/ufw/ufw.conf /etc/ufw/ufw.conf.bak或sudo iptables-save > ~/iptables-backup.rules），避免误操作导致服务中断。
2. 测试规则：生产环境应用新规则前，先在测试环境验证，防止误拦截合法流量。
3. 日志记录：可通过sudo ufw logging on（ufw）或sudo iptables -A INPUT -j LOG（iptables）开启日志，便于排查问题。
4. 最小化开放：仅开放必要的端口和服务（如Web服务仅需开放80/443，SSH仅需开放22），减少攻击面。