Ubuntu Overlay如何配置防火墙

Ubuntu Overlay配置防火墙的步骤

1. 安装UFW防火墙工具

UFW（Uncomplicated Firewall）是Ubuntu推荐的防火墙管理工具，操作简单且功能强大。首先通过以下命令安装UFW：

sudo apt update
sudo apt install ufw

2. 启用UFW防火墙

安装完成后，启用UFW以激活防火墙功能。系统会提示确认，输入y并按回车键：

sudo ufw enable

3. 配置Overlay相关端口规则

Overlay网络（如Docker Overlay）依赖特定端口进行节点间通信和管理，需放行这些端口以避免网络中断：

• TCP 2377：Docker集群管理端口（必须放行）；
• TCP/UDP 7946：Docker节点间通信端口（必须放行）；
• UDP 4789：VXLAN隧道端口（Overlay网络数据传输必需）。

使用以下命令放行上述端口：

sudo ufw allow 2377/tcp    # Docker集群管理
sudo ufw allow 7946/tcp   # 节点间通信（TCP）
sudo ufw allow 7946/udp   # 节点间通信（UDP）
sudo ufw allow 4789/udp   # VXLAN隧道

4. 设置默认访问策略

为降低攻击面，建议设置严格的默认访问策略：

• 默认拒绝所有入站连接：仅允许明确放行的端口和服务；
• 默认允许所有出站连接：保障系统正常访问外部网络（如更新、下载）。

通过以下命令配置：

sudo ufw default deny incoming  # 拒绝所有入站
sudo ufw default allow outgoing # 允许所有出站

5. 管理UFW规则

• 查看当前规则：确认已配置的规则是否正确，使用以下命令：

  sudo ufw status verbose
  

  输出会显示所有规则的详细信息（如端口、协议、状态）。

• 删除规则：若需移除某条规则（如误添加的端口），可使用delete命令，例如删除TCP 80端口的允许规则：

  sudo ufw delete allow 80/tcp
  

6. 保存并重载配置

UFW的规则默认在重启后仍有效，但修改配置文件后需手动重载以应用更改：

sudo ufw reload

7. 高级配置（可选）

• 限制特定IP访问：若需仅允许特定IP（如公司内网）访问Overlay网络，可使用allow from命令，例如允许IP 192.168.1.100访问所有端口：

  sudo ufw allow from 192.168.1.100
  

• 启用日志记录：通过日志分析可疑连接尝试，启用日志记录：

  sudo ufw logging on
  

  日志文件默认存储在/var/log/ufw.log。

注意事项

• 配置防火墙前，需确认Overlay网络（如Docker）的端口需求，避免误拦截必要通信；
• 修改规则后，建议通过sudo ufw status验证规则是否生效；
• 定期更新系统和UFW，以修复已知安全漏洞。