debian防火墙如何维护

Debian防火墙维护指南

Debian系统默认推荐使用UFW（Uncomplicated Firewall）作为防火墙管理工具，其语法简洁、易于操作，适合大多数场景；若需更细粒度的规则控制（如端口转发、NAT），可使用iptables（UFW底层依赖的工具）。

UFW基础操作：
安装（若未安装）：sudo apt update && sudo apt install ufw；
启用防火墙：sudo ufw enable（默认拒绝所有入站连接，允许所有出站连接）；
允许端口/服务：sudo ufw allow 22/tcp（SSH）、sudo ufw allow http（HTTP服务）；
删除规则：sudo ufw delete allow 22/tcp（删除指定端口规则）；
查看状态：sudo ufw status verbose（显示详细规则及默认策略）。
iptables基础操作：
允许端口：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT；
保存规则（需安装iptables-persistent）：sudo netfilter-persistent save；
恢复规则：sudo netfilter-persistent reload。

为防止系统重启后防火墙规则丢失，需设置规则持久化：

UFW：默认启用持久化（规则保存在/etc/ufw/ufw.conf），无需额外配置；
iptables：安装iptables-persistent包后，首次保存规则时会提示是否保存当前配置，选择“是”即可。后续可通过sudo dpkg-reconfigure iptables-persistent重新保存。

定期备份防火墙规则是应对配置错误、系统迁移或攻击的重要措施：

UFW备份：
导出规则到文件：sudo ufw export > /path/to/backup/ufw.rules；
导出当前状态（包括默认策略）：sudo ufw status verbose > /path/to/backup/ufw.status；
恢复规则：sudo ufw disable && sudo ufw enable && sudo ufw import /path/to/backup/ufw.rules（先禁用再启用以清除旧规则）。
iptables备份：
保存规则：sudo iptables-save > /path/to/backup/iptables.rules；
恢复规则：sudo iptables-restore < /path/to/backup/iptables.rules。

日志是排查防火墙问题、检测异常流量的关键：

UFW日志：
启用日志：sudo ufw logging on（默认日志文件为/var/log/ufw.log）；
设置日志级别（low/medium/high/full）：sudo ufw logging medium（medium级别记录大部分连接信息，平衡性能与详细度）；
查看日志：sudo tail -f /var/log/ufw.log（实时监控）或sudo less /var/log/ufw.log（查看历史记录）。
iptables日志：
添加日志规则（记录被拒绝的连接）：sudo iptables -A INPUT -j LOG --log-prefix "iptables-denied: " --log-level 4（--log-prefix用于标识日志来源，--log-level 4对应warning级别）；
查看日志：sudo grep "iptables-denied" /var/log/kern.log（iptables日志默认写入/var/log/kern.log）。

设置严格默认策略：
将默认入站策略设为deny（拒绝所有未明确允许的入站连接），默认出站策略设为allow（允许所有出站连接）：sudo ufw default deny incoming && sudo ufw default allow outgoing。
允许已建立的连接：
允许系统响应已建立的连接及相关数据包，避免正常通信中断：sudo ufw allow established && sudo ufw allow related。
定期审查规则：
每月检查一次防火墙规则，删除不再需要的端口（如测试用的临时端口），确保规则与当前业务需求一致。
限制管理接口访问：
若通过SSH管理服务器，仅允许特定IP访问SSH端口（如公司IP）：sudo ufw allow from <公司IP> to any port 22。

最新问答