Debian Minimal防火墙如何配置

Debian Minimal系统默认未安装防火墙工具，需手动安装配置。以下是使用UFW（推荐，简单易用）和iptables（需手动管理规则）的配置方法：

一、使用UFW（推荐）

1. 安装UFW

sudo apt update
sudo apt install ufw

2. 设置默认策略

sudo ufw default deny incoming  # 拒绝所有入站流量
sudo ufw default allow outgoing # 允许所有出站流量

3. 开放必要端口

sudo ufw allow 22/tcp       # 允许SSH（默认端口22）
sudo ufw allow 80/tcp       # 允许HTTP
sudo ufw allow 443/tcp      # 允许HTTPS
# 若需允许特定IP访问，可添加规则，如：
# sudo ufw allow from 192.168.1.0/24 to any port 22  # 仅允许192.168.1.0/24访问SSH

4. 启用防火墙

sudo ufw enable

5. 查看规则

sudo ufw status verbose  # 查看详细规则

二、使用iptables（需手动配置）

1. 安装iptables

sudo apt update
sudo apt install iptables

2. 设置默认策略

sudo iptables -P INPUT DROP       # 拒绝所有入站流量
sudo iptables -P FORWARD DROP     # 拒绝所有转发流量
sudo iptables -P OUTPUT ACCEPT    # 允许所有出站流量

3. 开放必要端口

sudo iptables -A INPUT -i lo -j ACCEPT       # 允许本地回环接口
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT  # 允许已建立的连接
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许SSH
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT  # 允许HTTP
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许HTTPS

4. 保存规则

sudo apt install iptables-persistent
sudo netfilter-persistent save  # 保存规则到/etc/iptables/rules.v4
sudo netfilter-persistent reload  # 重启后加载规则

三、注意事项

1. 优先使用UFW：UFW基于iptables封装，语法更简洁，适合新手，且默认规则更安全。
2. 最小权限原则：仅开放必要的端口（如SSH、HTTP/HTTPS），关闭其他非必要服务。
3. 测试规则：配置后建议通过nmap等工具测试端口是否按预期开放/关闭。
4. 持久化规则：无论是UFW还是iptables，均需保存规则以确保重启后生效。

参考来源：