Ubuntu系统默认使用UFW(Uncomplicated Firewall)作为防火墙管理工具,其配置文件主要分布在以下路径:
/etc/ufw/该目录包含UFW的核心环境设定文件,用于定义防火墙的全局行为(如默认策略、日志设置、IPv6配置等)。常见文件包括:
before.rules:在UFW规则加载前执行的iptables规则(如自定义链或默认策略调整);after.rules:在UFW规则加载后执行的iptables规则(如额外的过滤或转发规则);ufw.conf:UFW的主配置文件,包含是否启用防火墙(ENABLED=yes/no)、默认策略(DEFAULT_INPUT_POLICY=DROP/ACCEPT)等关键设置;sysctl.conf:覆盖系统默认的/etc/sysctl.conf文件,用于调整内核网络参数(如禁用IP转发、启用源地址校验等);applications.d/:存储应用程序配置文件(如OpenSSH、Apache等),定义服务的端口和协议(可通过ufw app list查看可用应用)。/var/lib/ufw/user.rules该文件存储用户通过ufw allow/deny等命令添加的自定义防火墙规则(如开放80端口、允许特定IP访问22端口等)。文件内容以iptables规则格式呈现,可直接编辑(修改后需执行sudo ufw reload使规则生效),也可通过UFW命令动态管理(无需手动修改文件)。
/etc/ufw/before6.rules 和 /var/lib/ufw/user6.rules若系统启用IPv6,before6.rules用于定义IPv6的预加载规则(类似before.rules),user6.rules存储用户针对IPv6的自定义规则(类似user.rules)。
/etc/default/ufw该文件定义UFW的默认策略(如默认拒绝所有传入连接、允许所有出站连接),以及是否启用IPv6支持(IPV6=yes/no)。例如,默认策略通过DEFAULT_INPUT_POLICY(传入)、DEFAULT_OUTPUT_POLICY(传出)、DEFAULT_FORWARD_POLICY(转发)参数设置。
若系统未使用UFW,而是直接配置iptables,传统配置文件路径为:
/etc/iptables/rules.v4(Ubuntu 16.04及以上版本)或/etc/iptables.up.rules(旧版本);/etc/iptables/rules.v6(Ubuntu 16.04及以上版本)。
这些文件需通过iptables-save命令生成,通过iptables-restore命令加载,但不建议在UFW启用的系统中直接修改(可能导致规则冲突)。