Ubuntu Stream 8如何设置防火墙规则

Ubuntu Stream 8防火墙规则设置指南（基于UFW）
Ubuntu Stream 8默认使用Uncomplicated Firewall (UFW) 作为防火墙管理工具，以下是配置防火墙规则的详细步骤：

1. 安装UFW

若系统未预装UFW，可通过以下命令安装：

sudo apt update
sudo apt install ufw

2. 启用UFW

安装完成后，启用UFW以激活防火墙：

sudo ufw enable

系统会提示确认，输入y并按回车键即可。启用后，UFW默认拒绝所有入站流量、允许所有出站流量（可根据需求调整）。

3. 查看防火墙状态

使用以下命令查看当前UFW规则及状态（需用sudo提升权限）：

sudo ufw status

• 若显示Status: active，则表示防火墙已启用；
• 若显示Status: inactive，则表示防火墙未启用。

4. 配置基本规则

允许特定端口

• 允许TCP端口80（HTTP）：

  sudo ufw allow 80/tcp
  

• 允许UDP端口53（DNS）：

  sudo ufw allow 53/udp
  

• 允许特定端口范围（如10000-20000）：

  sudo ufw allow 10000:20000/tcp
  

允许特定IP地址

• 允许IP地址192.168.1.100访问所有端口：

  sudo ufw allow from 192.168.1.100
  

• 允许IP地址段192.168.1.0/24访问SSH（端口22）：

  sudo ufw allow from 192.168.1.0/24 to any port 22
  

允许特定服务

UFW内置了常见服务（如SSH、HTTP、HTTPS）的规则，可直接使用服务名快速配置：

sudo ufw allow service ssh
sudo ufw allow service http
sudo ufw allow service https

5. 配置高级规则

拒绝特定端口

• 拒绝TCP端口23（Telnet，不安全）：

  sudo ufw deny 23/tcp
  

• 拒绝所有来自10.0.0.5的流量：

  sudo ufw deny from 10.0.0.5
  

设置默认策略

• 将入站流量默认策略设置为deny（拒绝所有未明确允许的入站连接，增强安全性）：

  sudo ufw default deny incoming
  

• 将出站流量默认策略设置为allow（允许所有出站连接，适用于大多数场景）：

  sudo ufw default allow outgoing
  

6. 删除规则

删除允许规则

• 删除之前允许的TCP端口80规则：

  sudo ufw delete allow 80/tcp
  

删除拒绝规则

• 删除之前拒绝的TCP端口23规则：

  sudo ufw delete deny 23/tcp
  

7. 保存与恢复规则

保存规则

UFW规则默认会自动保存至/etc/ufw/user.rules和/etc/ufw/user6.rules（IPv6），无需手动保存。若需手动备份，可复制上述文件。

恢复默认规则

若规则配置混乱，可使用以下命令恢复UFW默认规则（会清除所有自定义规则）：

sudo ufw reset

恢复后需重新启用UFW并配置所需规则。

注意事项

• 谨慎设置默认策略：若将入站流量默认策略设置为deny，需确保允许必要的服务（如SSH）端口，避免被锁在外面。
• 测试规则有效性：应用规则前，建议在测试环境验证，避免误拦截合法流量。
• 定期更新规则：根据业务需求变化，及时调整防火墙规则（如新增服务端口、修改IP白名单）。
• 结合日志监控：通过sudo ufw logging on开启日志记录，便于排查网络问题或安全事件。