虚拟机ubuntu如何配置防火墙

虚拟机 Ubuntu 防火墙配置指南

一 前置检查与启用 UFW

• 检查是否已安装并查看状态：sudo ufw status（若显示 Status: inactive 表示未启用）。
• 安装 UFW（如未安装）：sudo apt-get update && sudo apt-get install ufw。
• 设置默认策略（推荐）：sudo ufw default deny incoming（拒绝入站）、sudo ufw default allow outgoing（允许出站）。
• 启用防火墙：sudo ufw enable。提示：执行启用前务必先放行 SSH 22/TCP，否则远程会话会被断开。UFW 是 iptables 的前端，便于管理规则。

二 常用规则配置

• 放行 SSH（远程维护必备）：sudo ufw allow 22/tcp 或 sudo ufw allow ssh。
• 放行 Web 服务：sudo ufw allow 80/tcp、sudo ufw allow 443/tcp，或使用服务名 sudo ufw allow 'Nginx Full'、sudo ufw allow 'Apache'。
• 放行 DNS（若本机提供解析）：sudo ufw allow 53（TCP/UDP）。
• 按来源 IP 限制访问：sudo ufw allow from 192.168.1.100（允许该 IP 访问本机所有端口）；更细粒度：sudo ufw allow from 192.168.1.30 to any port 22 proto tcp。
• 拒绝端口：sudo ufw deny 3306（示例：禁止外部访问 MySQL）。
• 说明：UFW 支持按端口、协议（TCP/UDP）及来源/目的地址组合配置，命令语法简洁直观。

三 查看状态与删除规则

• 查看规则与状态：sudo ufw status（简要）、sudo ufw status verbose（详细）。
• 按编号查看并删除规则：sudo ufw status numbered，随后 sudo ufw delete <编号> 删除对应规则。
• 重新加载规则：sudo ufw reload（在不中断现有连接的前提下应用变更）。

四 虚拟机与 Docker 场景注意事项

• 虚拟机网络模式：
  • 桥接：虚拟机获得与宿主机同网段的 IP，需在 UFW 中按实际来源网段放行（如 from 192.168.1.0/24）。
  • NAT：外部通常无法直接访问虚拟机，仅宿主机能访问；如需从外部访问，请在宿主机或虚拟化平台做端口转发，并在虚拟机内放行对应端口。
• Docker 与 UFW 交互：Docker 启动容器并映射端口时，可能会自动操作 iptables，出现“已在 UFW 中拒绝但端口仍可访问”的现象。建议：
  • 优先使用 ufw allow 明确放行所需端口；
  • 或在 /etc/ufw/after.rules 中对 DOCKER-USER 链做策略，以让 UFW 管理容器流量；
  • 避免直接清空 iptables 规则，防止影响容器网络。
• 其他：如需使用 IPv6，请在 /etc/default/ufw 中启用 IPV6=yes，并确保规则对 IPv6 生效。

五 快速示例 安全最小化配置

• 仅允许来自 192.168.1.0/24 的 SSH，并放行 HTTP/HTTPS：
  1. sudo ufw default deny incoming
  2. sudo ufw default allow outgoing
  3. sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp
  4. sudo ufw allow 80/tcp
  5. sudo ufw allow 443/tcp
  6. sudo ufw enable
  7. sudo ufw status verbose 核对规则
• 如需临时完全放行（维护窗口）：sudo ufw disable；恢复：sudo ufw enable 并重新按需放行端口。