Ubuntu From Scratch如何设置防火墙

Ubuntu From Scratch 防火墙设置指南

前置说明与准备

• 这里的“Ubuntu From Scratch”通常指基于 Ubuntu 的最小化/服务器环境（并非从零编译内核的“from scratch”）。以下以 UFW（Uncomplicated Firewall） 为核心工具进行配置，底层仍是 iptables。
• 建议先确保系统已安装 UFW，并具备 sudo 权限；如未安装可执行：sudo apt update && sudo apt install ufw -y。
• 为避免被锁在系统外，务必在启用防火墙前先放行 SSH 端口（默认 22/TCP），或确保有控制台/带外访问方式。

快速上手

• 设置默认策略为拒绝入站、放行出站：sudo ufw default deny incoming 与 sudo ufw default allow outgoing（按需调整）。
• 放行常用服务端口（示例）：sudo ufw allow 22/tcp（SSH）、sudo ufw allow 80/tcp（HTTP）、sudo ufw allow 443/tcp（HTTPS）；也可使用服务名：sudo ufw allow ssh、sudo ufw allow 'Apache Full'（若已安装相关服务元信息）。
• 启用防火墙：sudo ufw enable（提示是否继续时输入 y；启用后随系统启动自动加载）。
• 查看状态与规则：sudo ufw status verbose；如需精简输出可用 sudo ufw status。
• 关闭或重置：sudo ufw disable；删除单条规则可用 sudo ufw delete allow <端口/服务>。

常用规则示例

• 仅允许某 IP 访问 SSH：sudo ufw allow proto tcp from 203.0.113.10 to any port 22。
• 放行特定来源的某端口：sudo ufw allow proto tcp from 192.168.1.0/24 to any port 3306（示例为数据库）。
• 放行 DNS 查询（UDP/TCP）：sudo ufw allow 53。
• 删除规则：sudo ufw delete allow 80/tcp 或 sudo ufw delete allow from 203.0.113.10 to any port 22。
• 开启/关闭日志：sudo ufw logging on|off（便于审计与排错）。

进阶配置与注意事项

• 与 Docker 共存：Docker 默认会操作 iptables，可能导致端口绕过 UFW。若需由 UFW 统一管理，可在 /etc/docker/daemon.json 中设置 "iptables": false 并重启 Docker；注意这会影响容器网络与端口发布策略，需另行规划（如改用 host 网络或显式在 UFW 放行对应端口）。
• 禁止 ICMP Ping：编辑 /etc/ufw/before.rules，将 -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT 改为 DROP；IPv6 对应 /etc/ufw/before6.rules 的 ufw6-before-input 行，修改后执行 sudo ufw reload。
• 规则持久化与文件位置：UFW 规则与配置位于 /etc/ufw/（如 before.rules、after.rules、user.rules、ufw.conf 等）；直接编辑规则文件后需 sudo ufw reload 使生效。
• 故障排查：使用 sudo ufw status verbose 查看生效规则与日志；若启用了日志，可结合系统日志定位被拒连接；必要时临时 sudo ufw disable 恢复访问，再修正规则。