Ubuntu防火墙开启后有何影响

Ubuntu防火墙开启后的影响

一核心影响

默认策略生效：启用 UFW 并设置 default deny 后，入站连接默认被拒绝，除非显式放行；出站流量通常不受影响，仍可正常访问外部网络。远程管理时若未放行 SSH 22/TCP，新连接会被阻断，已建立的会话可能短暂保持。执行 sudo ufw enable 时会出现提示：“Command may disrupt existing ssh connections”。
端口与服务可达性改变：只有被规则放行的端口才对外可达。例如 sudo ufw allow 22/tcp、sudo ufw allow 80/tcp、sudo ufw allow 53（TCP/UDP）才会开放对应服务；未放行则外部无法访问。
规则优先级与冲突：UFW 是对 iptables/nftables 的封装，规则按顺序匹配；若使用 ufw default deny，未匹配到允许规则的流量将被丢弃。若系统同时运行 firewalld 与 ufw，可能出现策略叠加或冲突，导致端口状态与预期不符，建议只保留一种防火墙工具。

二常见服务与场景的变化

场景	开启后的表现	建议操作
SSH 远程管理	未放行 22/TCP 时新连接被拒；已建立的会话可能短暂保持	先放行：`sudo ufw allow 22/tcp`，再启用防火墙
DNS 查询	未放行 53/TCP/UDP 时域名解析可能失败	放行：`sudo ufw allow 53`
Web 服务	未放行 80/TCP、443/TCP 时外网无法访问网站	放行：`sudo ufw allow 80/tcp`、`sudo ufw allow 443/tcp`
数据库等敏感服务	未显式放行对应端口（如 3306）时外部无法连接	仅对受控来源放行：`sudo ufw allow from 192.168.1.0/24 to any port 3306`
NFS 等复杂服务	涉及多端口/协议，仅放行单一端口往往不够	按官方要求放行所需端口与协议，或临时停用防火墙验证规则
Docker 容器	容器网络可能受主机防火墙策略影响	统一在主机用 UFW 管理端口映射，避免与 Docker 的 iptables 规则混用

以上行为与命令示例基于 UFW 的默认拒绝策略与常用放行方式；NFS 等需要按服务特性开放多个端口或协议。

三风险与注意事项

远程开启有断连风险：在未放行 22/TCP 的情况下启用防火墙，新的 SSH 连接会被拒绝，务必先放行或使用控制台操作。
多防火墙并存风险：同时启用 ufw 与 firewalld 会造成策略相互影响，出现端口“已放行却不通”的现象，建议只启用一种并在变更后重启相应服务验证。
默认策略差异：执行 sudo ufw default deny 后，入站默认拒绝；若希望默认允许，可改为 sudo ufw default allow（安全性较低，需谨慎）。

四快速自检与常用命令

查看状态与规则：sudo ufw status（查看是否 active 及已放行端口/来源）
启用与默认策略：sudo ufw enable，配合 sudo ufw default deny（入站默认拒绝）或 sudo ufw default allow（入站默认允许）
放行常用端口：sudo ufw allow 22/tcp、sudo ufw allow 80/tcp、sudo ufw allow 443/tcp、sudo ufw allow 53
按来源限制：sudo ufw allow from 192.168.1.100（仅允许该 IP 访问所有端口）
删除规则：sudo ufw status numbered 查看规则编号，再用 sudo ufw delete <编号> 删除
服务监听核对：sudo netstat -tunlp | grep <端口> 确认服务已在对应端口监听

最新问答