Debian如何管理防火墙规则

Debian 防火墙规则管理指南

一工具选择与适用场景

UFW（Uncomplicated Firewall）：基于 iptables 的前端，语法简洁，适合快速上手与日常运维，默认策略通常为拒绝入站、允许出站。Debian 官方仓库提供 UFW，安装后即可使用。对于大多数服务器与工作站，优先推荐使用 UFW 管理规则。
iptables：底层规则引擎，灵活强大，适合复杂策略与精细化控制（如按接口、连接状态、自定义链等）。规则默认不会自动持久化，需配合持久化方案保存与恢复。

二使用 UFW 管理规则

安装与启用
- 安装：sudo apt update && sudo apt install ufw
- 设置默认策略：sudo ufw default deny incoming；sudo ufw default allow outgoing
- 启用：sudo ufw enable（远程操作前务必先允许 SSH，见下条）
常用规则
- 允许 SSH：sudo ufw allow ssh 或 sudo ufw allow 22/tcp
- 允许 HTTP/HTTPS：sudo ufw allow 80/tcp、sudo ufw allow 443/tcp；或应用简写 sudo ufw allow 'Nginx Full'
- 按来源 IP/子网放行：sudo ufw allow from 203.0.113.4；sudo ufw allow from 203.0.113.0/24
- 按端口范围与协议：sudo ufw allow 6000:6007/tcp、sudo ufw allow 6000:6007/udp
- 按网络接口：sudo ufw allow in on eth0 to any port 80
- 拒绝规则：将 allow 替换为 deny
查看与维护
- 查看状态：sudo ufw status；查看带编号规则：sudo ufw status numbered
- 删除规则：sudo ufw delete allow 80 或 sudo ufw delete deny 23/tcp
- 日志：sudo ufw logging on|off；日志级别：sudo ufw logging low|medium|high
- 启用/禁用/重置：sudo ufw enable|disable|reset
- 高级配置：编辑 /etc/ufw/before.rules、/etc/ufw/after.rules、/etc/default/ufw（可开启 IPv6：设置 IPV6=yes）

三使用 iptables 管理规则

基本用法
- 查看：sudo iptables -L -n -v
- 允许 SSH：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- 允许 HTTP/HTTPS：sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT；sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- 拒绝其他入站：谨慎设置默认策略，例如 sudo iptables -P INPUT DROP（可能导致远程断开，务必先放行 SSH）
持久化与恢复
- 保存：sudo sh -c "iptables-save > /etc/iptables/rules.v4"
- 恢复：sudo iptables-restore < /etc/iptables/rules.v4
- 使用 iptables-persistent / netfilter-persistent（推荐）：sudo apt install iptables-persistent；安装时选择保存当前规则；后续可用 sudo netfilter-persistent save|start 管理

四安全与运维要点

五快速示例

最新问答