Ubuntu防火墙更新规则步骤

Ubuntu防火墙（UFW）更新规则步骤

1. 查看当前防火墙状态与规则

在更新规则前，需先确认现有规则，避免误操作影响系统访问。使用以下命令查看：

• 基础状态：sudo ufw status（显示规则概览，如端口开放情况）；
• 详细信息：sudo ufw status verbose（包含默认策略、规则优先级等详细信息）；
• 带编号规则：sudo ufw status numbered（为每条规则分配编号，便于后续删除或修改）。

2. 添加新规则

根据需求添加允许或拒绝特定流量规则，常见场景如下：

• 允许端口：sudo ufw allow [port]/[protocol]（如sudo ufw allow 80/tcp允许HTTP服务，sudo ufw allow 443/tcp允许HTTPS服务）；
• 允许服务：sudo ufw allow [service_name]（如sudo ufw allow ssh允许SSH连接，sudo ufw allow http允许HTTP服务，基于/etc/services文件的服务名称）；
• 允许特定IP：sudo ufw allow from [ip_address]（如sudo ufw allow from 192.168.1.100允许该IP所有流量，sudo ufw allow from 192.168.1.0/24允许子网所有流量）；
• 拒绝端口/IP：sudo ufw deny [port]/[protocol]（如sudo ufw deny 22/tcp拒绝SSH端口）或sudo ufw deny from [ip_address]（如sudo ufw deny from 10.0.0.5拒绝该IP访问）。

3. 删除旧规则

若需移除错误或不需要的规则，可通过以下方式：

• 按规则内容删除：sudo ufw delete [rule_description]（如sudo ufw delete allow 80/tcp删除允许80端口的TCP规则）；
• 按编号删除：先通过sudo ufw status numbered查看规则编号，再用sudo ufw delete [number]删除（如sudo ufw delete 3删除第3条规则）。

4. 重载防火墙规则

添加或删除规则后，需重载配置使更改生效，不影响当前连接：

• 推荐命令：sudo ufw reload（重新加载所有规则，保持现有连接不断开）；
• 重启服务：sudo systemctl restart ufw（完全停止并重启UFW服务，适用于规则冲突等特殊情况）。

5. 验证规则生效

重载后，通过以下命令确认规则是否正确应用：

• 查看状态：再次执行sudo ufw status或sudo ufw status verbose，检查目标规则是否存在；
• 测试端口：使用nmap工具测试端口是否开放（如sudo nmap -p 80 localhost，若显示“open”则表示端口开放）；
• 测试IP访问：从外部设备使用nmap测试特定IP是否被阻止（如sudo nmap -p 22 192.168.1.100，若显示“filtered”则表示端口被防火墙拦截）。