Linux 系统防火墙 ufw 详解（linux防火墙命令大全）

Uncomplicated Firewall（ufw）是一个简化了Linux防火墙配置的工具，特别适用于初学者和快速配置的场景。

1. 安装 ufw：

在大多数Linux发行版中，ufw默认是未安装的，手动安装它。使用以下命令安装：

bashCopy code

sudo apt install ufw # 对于基于Debian/Ubuntu的系统

或者

bashCopy code

sudo yum install ufw # 对于基于CentOS/RHEL的系统

2. 启动和停止 ufw：

• 启动 ufw：

bashCopy code

sudo ufw enable

• 停止 ufw：

bashCopy code

sudo ufw disable

3. 查看 ufw 状态：

要查看ufw的当前状态，运行：

luaCopy code

sudo ufw status

4. 配置默认策略：

ufw使用默认策略规则，它们决定了入站和出站流量的行为。默认情况下，入站流量被拒绝，出站流量被允许。更改默认策略，例如，允许所有入站流量并拒绝所有出站流量：

csharpCopy code

sudo ufw default allow incoming # 允许所有入站流量 sudo ufw default deny outgoing # 拒绝所有出站流量

5. 添加规则：

通过端口号、应用程序名、服务名称等方式添加规则。以下是一些示例：

• 允许SSH访问：

Copy code

sudo ufw allow OpenSSH

• 允许HTTP流量：

bashCopy code

sudo ufw allow 80/tcp

6. 删除规则：

要删除规则，使用 delete 命令，例如：

arduinoCopy code

sudo ufw delete allow 80/tcp

7. 启用或禁用规则：

如果需要，通过启用或禁用规则来更改其状态。例如，要禁用HTTP规则：

bashCopy code

sudo ufw deny 80/tcp

然后，要启用它：

bashCopy code

sudo ufw allow 80/tcp

8. 查看规则列表：

要查看已配置的规则列表，运行：

luaCopy code

sudo ufw status numbered

这将列出每个规则及其编号，使用编号来删除或更改规则。

9. 复杂规则：

ufw也支持更复杂的规则，例如限制特定IP地址的访问或定义端口范围。在ufw文档中找到更多示例和信息。

10. 日志记录：

配置ufw以记录被拒绝的连接。要启用日志记录：

csharpCopy code

sudo ufw logging on

11. 重启 ufw：

如果对ufw的配置进行了更改，使用以下命令重新加载配置：

Copy code

sudo ufw reload

其他重要的事项：

12. 开启必需的端口：

确保您开启了系统需要的端口，比如SSH（默认端口为22），HTTP（默认端口为80）和HTTPS（默认端口为443）。如果您关闭了这些端口，会失去对服务器的远程访问和Web服务访问。

13. 避免禁用所有出站流量：

虽然默认策略中出站流量被允许，但在某些情况下，您可能希望对出站流量进行更严格的控制。不过，请小心，禁用所有出站流量可能会导致服务器无法正常工作，因为它无法向外部服务器发送请求。

14. 定期审查规则：

定期审查已配置的规则，确保它们仍然满足您的安全需求。特别是，审查与开放端口相关的规则，以防止不必要的风险。

15. 使用ufw的限制模式：

ufw还提供了限制模式，在配置防火墙时使用，防止您在远程连接到服务器后无法访问它。这可以在配置之前通过启用限制模式来实现。

16. 备份您的规则：

在进行重要的配置更改之前，请确保备份您的当前ufw规则，以便在发生问题时能够还原配置。