Debian防火墙UFW简化操作

Debian 上 UFW 快速上手与常用命令清单

一 安装与启用

• 安装 UFW（Debian 通常未预装）：sudo apt update && sudo apt install ufw
• 设置默认策略（务必先放行 SSH，避免被锁）：
  sudo ufw default deny incoming
  sudo ufw default allow outgoing
• 放行 SSH（端口 22/TCP）后再启用：
  sudo ufw allow ssh 或 sudo ufw allow 22/tcp
  sudo ufw enable
• 验证状态：sudo ufw status（若显示 Status: active 即生效）
• 说明：UFW 规则集为空时即使守护进程运行也不会生效；启用后按默认策略开始拦截未放行流量。

二 常用操作速查

三 安全加固与最佳实践

• 默认策略采用“入站拒绝、出站允许”，仅对必要服务放通端口，最小化暴露面。
• SSH 建议：优先使用密钥登录、修改默认端口，并限制来源 IP：
  sudo ufw allow from YOUR_IP/32 to any port 2222 proto tcp
• 防暴力：对 SSH 启用限速规则：sudo ufw limit ssh（短时间内过多连接将被拒绝）。
• 按需放通 Web/数据库等：
  sudo ufw allow http,https/tcp；sudo ufw allow from 192.168.1.0/24 to any port 3306
• 启用日志并设置合适级别（如 medium），便于审计与排障。
• 规则变更后可用 sudo ufw reload 使配置生效而不中断现有连接（视场景选择）。

四 常见问题与排障

• 启用后无法 SSH：一定是先放行 SSH 再 enable；若已锁定，使用本地/控制台登录后放行端口或临时设置默认允许再调整。
• 查看与删除规则：优先用 sudo ufw status numbered 获取规则编号，再按编号删除，避免误删。
• IPv6 支持：编辑 /etc/default/ufw，将 IPV6=yes，确保 IPv6 规则同样生效。
• 日志位置与内容：/var/log/ufw.log，常见前缀如 [UFW BLOCK]，包含 IN/OUT、SRC/DST、PROTO、SPT/DPT 等，可用于定位被拒流量。
• 重置与恢复：配置混乱时用 sudo ufw reset 回到初始状态，再按“放行 SSH → 必要端口 → 启用”的顺序重做。