Ubuntu Strings如何设置防火墙规则

Ubuntu 使用 UFW 设置防火墙规则

说明与准备

• 你提到的“Ubuntu Strings”应为“Ubuntu 使用 UFW（Uncomplicated Firewall）”来配置防火墙规则。UFW 是 Ubuntu 上基于 iptables/nftables 的前端，简化规则管理。Ubuntu 22.04 通常默认已安装 UFW；如未安装可执行：sudo apt update && sudo apt install ufw。在启用前，务必先允许 SSH（22/tcp），避免被锁在服务器外：sudo ufw allow 22/tcp 或 sudo ufw allow ssh。如系统启用 IPv6，编辑 /etc/default/ufw 将 IPV6=yes，使 UFW 同时管理 IPv6 规则。

UFW 常用规则示例

• 启用与状态
  • 启用：sudo ufw enable
  • 查看：sudo ufw status（查看规则清单）；sudo ufw status numbered（带编号，便于删除）
• 默认策略
  • 推荐：sudo ufw default deny incoming（拒绝入站）、sudo ufw default allow outgoing（允许出站）
• 端口与服务
  • 允许端口：sudo ufw allow 80/tcp、sudo ufw allow 443/tcp
  • 允许服务名：sudo ufw allow ssh、sudo ufw allow smtp
  • 仅 UDP：sudo ufw allow 1725/udp
• 来源与端口组合
  • 允许某 IP 全部访问：sudo ufw allow from 203.0.113.10
  • 允许子网访问某端口：sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp
• 拒绝与删除
  • 拒绝某端口：sudo ufw deny 111
  • 按规则删除：sudo ufw delete deny 111；或按编号删除：sudo ufw delete 2
• 日志
  • 开启与级别：sudo ufw logging on；sudo ufw logging medium（可选 low/medium/high）

进阶配置与注意事项

• 配置文件与链顺序
  • 可在 /etc/ufw/before.rules、after.rules（以及 IPv6 的 before6.rules、after6.rules）中添加更细粒度的规则；命令行规则会在加载这些文件前后执行，适合处理回环、ICMP、DHCP 等特例。
• 启用前的安全顺序
  • 先放行关键服务（如 SSH），再设置默认拒绝入站，避免中断当前会话：sudo ufw allow 22/tcp → sudo ufw default deny incoming → sudo ufw enable。
• 规则方向
  • UFW 规则默认定向于入站（incoming）。需要出站控制时使用方向参数，例如：sudo ufw deny out smtp（拒绝本机向外发起 SMTP 连接）。

使用 iptables 的简要示例（可选）

• 查看：sudo iptables -L -n -v
• 允许本机访问外部 DNS（53/udp）：sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
• 拒绝来自某 IP 的 ICMP（ping）：sudo iptables -I INPUT -s 203.0.113.10 -p icmp -j REJECT
• 保存与持久化（Debian/Ubuntu 常见做法）：sudo apt-get install iptables-persistent；保存：sudo netfilter-persistent save（规则重启后依然生效）。