ubuntu镜像中防火墙配置方法

Ubuntu镜像中防火墙配置方法（以UFW为例）
Ubuntu系统默认集成UFW（Uncomplicated Firewall）——基于iptables的简化防火墙工具，专为新手设计，支持快速配置入站/出站规则、默认策略及服务管理。以下是具体配置步骤：

1. 安装UFW

多数Ubuntu镜像（如桌面版、服务器版）默认未预装UFW，需通过以下命令安装：

sudo apt-get update  # 更新软件包列表
sudo apt-get install ufw  # 安装UFW

2. 启用UFW及设置默认策略

安装完成后，需启用UFW并配置默认拒绝策略（仅允许明确放行的流量），提升系统安全性：

sudo ufw enable  # 启用UFW（系统启动时自动开启）
sudo ufw default deny incoming  # 默认拒绝所有入站流量（外部访问本机需手动放行）
sudo ufw default allow outgoing  # 默认允许所有出站流量（本机访问外部正常）

3. 常用规则配置

① 允许服务/端口

• 通过服务名称放行（需服务在/etc/services中定义，如SSH、HTTP）：

  sudo ufw allow ssh  # 允许SSH（22/tcp）
  sudo ufw allow http  # 允许HTTP（80/tcp）
  sudo ufw allow https  # 允许HTTPS（443/tcp）
  

• 通过端口/协议放行（适用于未定义的服务）：

  sudo ufw allow 80/tcp  # 允许80端口（TCP）
  sudo ufw allow 53  # 允许53端口（TCP/UDP，DNS服务）
  

• 允许特定IP访问所有端口（如公司内网IP）：

  sudo ufw allow from 192.168.1.100  # 允许192.168.1.100访问本机所有端口
  

• 允许IP段访问特定端口（如允许192.168.0.0/24网段访问22端口）：

  sudo ufw allow proto tcp from 192.168.0.0/24 to any port 22  # 允许TCP 22端口
  

② 删除规则

若需撤销某条规则，可通过规则编号或直接指定规则删除：

sudo ufw status numbered  # 查看规则及编号（如“1. Allow ssh”）
sudo ufw delete 1  # 删除第1条规则
# 或直接删除指定规则
sudo ufw delete allow ssh  # 删除SSH规则

4. 查看防火墙状态

• 查看简要状态（是否启用、默认策略、已放行规则）：

  sudo ufw status  # 显示“Status: active”表示启用
  

• 查看详细状态（包含规则编号、协议、端口、源IP等）：

  sudo ufw status verbose  # 显示更详细的规则信息
  

5. 其他实用命令

• 开启/关闭防火墙（临时禁用，不影响默认策略）：

  sudo ufw disable  # 关闭UFW
  sudo ufw enable  # 重新启用
  

• 开启日志记录（记录被拒绝的流量，便于排查问题）：

  sudo ufw logging on  # 开启日志（日志文件位于/var/log/ufw.log）
  sudo ufw logging off  # 关闭日志
  

注意事项

• UFW依赖iptables：UFW是iptables的前端工具，实际规则由iptables执行，无需单独安装iptables。
• 规则优先级：UFW规则按添加顺序匹配，建议先放行常用服务（如SSH），再限制其他端口。
• 测试规则：配置完成后，可通过telnet <服务器IP> <端口>或nc -zv <服务器IP> <端口>测试端口是否可达。

通过以上步骤，即可快速完成Ubuntu镜像的防火墙配置，保障系统安全。