啟用ufw并設置默認策略的步驟為:首先啟動ufw,接著設置默認拒絕所有入站連接并允許所有出站連接。使用命令“sudo ufw enable”啟用防火墻,“sudo ufw default deny incoming”設置默認拒絕入站,“sudo ufw default allow outgoing”設置默認允許出站。隨后可通過“ufw status verbose”確認狀態。開放特定端口如ssh(22)、http(80)和https(443)可使用“sudo ufw allow ssh”或指定端口號如“sudo ufw allow 2222/tcp”。若需限制訪問來源,可用“sudo ufw allow from 192.168.1.100 to any port 22 proto tcp”僅允許特定ip連接ssh。刪除規則時先用“sudo ufw status numbered”查看編號,再通過“sudo ufw delete 3”按編號刪除。若需臨時關閉防火墻則使用“sudo ufw disable”,但修改后應確保仍能訪問服務器以免被鎖。
linux系統自帶的防火墻工具很多,UFW(Uncomplicated Firewall)算是最簡單易用的一個。它本身是對iptables的封裝,但使用起來更直觀,適合新手快速配置基礎防火墻規則。
如何啟用UFW并設置默認策略
安裝完UFW后,默認是關閉狀態。你需要手動啟動它,并設置默認規則。一般建議“默認拒絕所有入站連接,允許所有出站連接”,這樣安全性更高,同時不影響本機主動發起的請求。
sudo ufw enable sudo ufw default deny incoming sudo ufw default allow outgoing
啟用之后可以用 ufw status verbose 查看當前狀態。如果看到“active”說明已經運行起來了。
開放特定端口和服務
服務器通常需要開放一些常用端口,比如SSH(22)、HTTP(80)、HTTPS(443)。你可以通過下面的方式開放這些端口:
-
允許SSH連接:
sudo ufw allow ssh
或者指定端口號:
sudo ufw allow 2222/tcp
-
開放Web服務:
sudo ufw allow http sudo ufw allow https
你也可以限制只允許某個IP訪問特定端口,比如只讓192.168.1.100通過SSH連接:
sudo ufw allow from 192.168.1.100 to any port 22 proto tcp
這樣做可以有效防止外網暴力破解SSH賬戶。
刪除或禁用防火墻規則
有時候加錯了規則或者想臨時調整,可以通過編號來刪除規則。先查看現有規則:
sudo ufw status numbered
然后根據編號刪除,比如刪除第3條規則:
sudo ufw delete 3
如果你只是想暫時關閉防火墻而不是徹底卸載,可以用:
sudo ufw disable
注意:修改規則后最好確認一下是否還連得上服務器,特別是遠程操作的時候,避免把自己鎖在外面。
基本上就這些操作了。UFW雖然功能不算最強,但對大多數日常需求來說已經夠用了,關鍵是配置起來不復雜,但容易忽略細節,比如默認策略和端口開放范圍。只要記住幾個常用命令,就能輕松管理Linux系統的網絡訪問控制。
