Ubuntu防火墙(UFW)设置步骤
Ubuntu系统默认已预装UFW(Uncomplicated Firewall),若未安装,可通过以下命令安装:
sudo apt-get install ufw
安装完成后,UFW处于未启用状态。
安装完成后,使用以下命令启用防火墙:
sudo ufw enable
启用后,系统会提示“Firewall is active and enabled on system startup”(防火墙已激活并在系统启动时自动启用)。
为增强安全性,建议同时设置默认拒绝策略(关闭所有外部对本机的未明确允许的访问):
sudo ufw default deny
此策略确保只有明确开放的端口/服务能被外部访问,本机访问外部不受影响。
默认策略决定了未明确规则时的流量处理方式,通常建议采用“默认拒绝”:
sudo ufw default deny
若需允许所有未明确拒绝的流量(不推荐,安全性较低),可使用:
sudo ufw default allow
但此设置会增加系统暴露风险,仅建议在测试环境中使用。
/etc/services文件中,如SSH、HTTP):sudo ufw allow ssh(等价于开放22/tcp端口)sudo ufw allow http(等价于开放80/tcp端口)sudo ufw allow 80/tcp(开放80端口,仅允许TCP协议)sudo ufw allow 53(开放53端口,允许TCP/UDP协议,默认不指定协议时同时允许两者)192.168.1.100完全访问本机):sudo ufw allow from 192.168.1.100192.168.1.100访问本机3306端口,用于MySQL数据库):sudo ufw allow from 192.168.1.100 to any port 3306。sudo ufw delete allow 22/tcp192.168.1.100访问所有端口):sudo ufw deny from 192.168.1.100192.168.1.100访问80端口):sudo ufw deny from 192.168.1.100 to any port 80。sudo ufw statusStatus: active
To Action From
-- ------ ----
22/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
22/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
sudo ufw status numberedStatus: active
1. Allow 22/tcp
2. Allow 80/tcp
若需删除已添加的规则,可通过规则编号或具体规则语句删除:
sudo ufw delete 1sudo ufw delete allow 80/tcpsudo ufw reloadsudo ufw reloadsudo ufw disablesudo ufw logging onsudo ufw logging off/var/log/ufw.log):sudo tail -f /var/log/ufw.log。