Ubuntu防火墙开启后的影响
一 核心影响
sudo ufw enable 时会出现提示:“Command may disrupt existing ssh connections”。sudo ufw allow 22/tcp、sudo ufw allow 80/tcp、sudo ufw allow 53(TCP/UDP)才会开放对应服务;未放行则外部无法访问。ufw default deny,未匹配到允许规则的流量将被丢弃。若系统同时运行 firewalld 与 ufw,可能出现策略叠加或冲突,导致端口状态与预期不符,建议只保留一种防火墙工具。二 常见服务与场景的变化
| 场景 | 开启后的表现 | 建议操作 |
|---|---|---|
| SSH 远程管理 | 未放行 22/TCP 时新连接被拒;已建立的会话可能短暂保持 | 先放行:sudo ufw allow 22/tcp,再启用防火墙 |
| DNS 查询 | 未放行 53/TCP/UDP 时域名解析可能失败 | 放行:sudo ufw allow 53 |
| Web 服务 | 未放行 80/TCP、443/TCP 时外网无法访问网站 | 放行:sudo ufw allow 80/tcp、sudo ufw allow 443/tcp |
| 数据库等敏感服务 | 未显式放行对应端口(如 3306)时外部无法连接 | 仅对受控来源放行:sudo ufw allow from 192.168.1.0/24 to any port 3306 |
| NFS 等复杂服务 | 涉及多端口/协议,仅放行单一端口往往不够 | 按官方要求放行所需端口与协议,或临时停用防火墙验证规则 |
| Docker 容器 | 容器网络可能受主机防火墙策略影响 | 统一在主机用 UFW 管理端口映射,避免与 Docker 的 iptables 规则混用 |
以上行为与命令示例基于 UFW 的默认拒绝策略与常用放行方式;NFS 等需要按服务特性开放多个端口或协议。
三 风险与注意事项
sudo ufw default deny 后,入站默认拒绝;若希望默认允许,可改为 sudo ufw default allow(安全性较低,需谨慎)。四 快速自检与常用命令
sudo ufw status(查看是否 active 及已放行端口/来源)sudo ufw enable,配合 sudo ufw default deny(入站默认拒绝)或 sudo ufw default allow(入站默认允许)sudo ufw allow 22/tcp、sudo ufw allow 80/tcp、sudo ufw allow 443/tcp、sudo ufw allow 53sudo ufw allow from 192.168.1.100(仅允许该 IP 访问所有端口)sudo ufw status numbered 查看规则编号,再用 sudo ufw delete <编号> 删除sudo netstat -tunlp | grep <端口> 确认服务已在对应端口监听