ubuntu lamp防火墙配置技巧 - 问答

Ubuntu LAMP防火墙配置技巧

在Ubuntu LAMP环境中，UFW（Uncomplicated Firewall） 是新手首选的防火墙工具（基于iptables封装，语法更简洁），而iptables则适合需要高级自定义的场景。配置前需完成以下基础准备：

安装工具：UFW通常预装于Ubuntu，未安装时可通过 sudo apt update && sudo apt install ufw 安装；iptables一般默认安装，若未安装则用 sudo apt install iptables。
设置默认策略：UFW的默认策略应设为“拒绝所有传入、允许所有传出”，强化“最小权限”原则，命令为 sudo ufw default deny incoming 和 sudo ufw default allow outgoing；iptables同理，需设置 sudo iptables -P INPUT DROP（拒绝所有入站）、sudo iptables -P OUTPUT ACCEPT（允许所有出站）。

LAMP（Linux+Apache+MySQL+PHP）环境需开放以下核心端口，确保Web服务、数据库及远程管理的正常访问：

HTTP（80/tcp）：允许网页浏览，命令为 sudo ufw allow 80/tcp（UFW）或 sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT（iptables）；
HTTPS（443/tcp）：保障加密网页传输，命令为 sudo ufw allow 443/tcp 或 sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT；
SSH（22/tcp）：远程管理服务器，命令为 sudo ufw allow 22/tcp 或 sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT（iptables需限制为“已建立的连接”，防止非法入侵）；
MySQL（3306/tcp）：数据库访问（若需远程访问），命令为 sudo ufw allow 3306/tcp 或 sudo iptables -A INPUT -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT。

限制特定IP访问关键端口：避免开放所有IP访问敏感端口（如SSH、MySQL），仅允许可信IP访问。例如，限制SSH仅能从公司IP（192.168.1.100）访问，UFW命令为 sudo ufw allow from 192.168.1.100 to any port 22，iptables命令为 sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT。
启用日志记录：通过日志追踪被拒绝的连接，便于排查攻击或误配置。UFW启用日志的命令为 sudo ufw enable logging，日志文件位于 /var/log/ufw.log，可通过 sudo tail -f /var/log/ufw.log 实时查看；iptables需手动添加日志规则，如 sudo iptables -A INPUT -j LOG --log-prefix "IPTABLES-DROP: "。
保存与持久化规则：UFW规则默认自动保存，无需额外操作；iptables规则需手动保存（Ubuntu下可通过 sudo apt install iptables-persistent 安装持久化工具，然后执行 sudo netfilter-persistent save），避免重启后规则丢失。

验证规则有效性：配置完成后，用 sudo ufw status verbose（UFW）查看规则是否生效，或通过 telnet your_server_ip 80（从外部机器测试HTTP端口连通性）验证端口是否开放。
定期审查规则：根据业务变化（如新增网站、修改数据库访问权限）及时调整规则，删除不必要的端口开放（如测试完成后关闭3306的远程访问），降低安全风险。
备份规则：定期备份UFW规则（sudo cp /etc/ufw/user.rules ~/ufw_backup.rules）和iptables规则（sudo iptables-save > ~/iptables_backup.v4），防止规则丢失或误删。

0 赞

0 踩