Ubuntu防火墙如何更新策略文件

Ubuntu 防火墙更新策略文件操作指南

一、UFW 场景 更新应用清单与默认策略

• 更新单个应用清单：当软件包升级后，其 UFW 应用配置可能变化，执行以下命令同步到最新规则定义。
  • 命令：sudo ufw app update <应用名>
  • 批量更新：sudo ufw app update all
• 在更新清单的同时新增规则：将应用配置里的端口/协议直接以规则形式加入。
  • 命令：sudo ufw app update --add-new <应用名>
  • 行为受应用默认策略控制：sudo ufw app default skip|allow|deny（默认值为 skip，即不自动放行；设为 allow 存在较大风险，需谨慎）。
• 修改 UFW 的默认策略（影响未显式匹配规则的流量）：
  • 命令：sudo ufw default deny|allow incoming、sudo ufw default deny|allow outgoing
  • 说明：默认策略通常在 /etc/default/ufw 中定义，也可通过上述命令调整；修改后可能需要检查既有规则是否仍符合预期。

二、UFW 场景 使策略变更生效

• 重新加载防火墙以应用最新规则/策略（不中断现有连接）：sudo ufw reload
• 启用或重启防火墙（会应用当前配置并持久化到开机启动）：sudo ufw enable
• 变更默认策略后，建议复核规则：sudo ufw status verbose；如涉及端口或服务调整，可先使用 sudo ufw --dry-run … 进行预演，确认无误再执行。

三、iptables 场景 更新规则文件并持久化

• Ubuntu 若直接使用 iptables，策略通常保存在规则文件中，编辑后需保存并重启服务使其生效。
• 规则文件路径：
  • IPv4：/etc/iptables/rules.v4
  • IPv6：/etc/iptables/rules.v6
• 保存与加载方式（使用 iptables-persistent）：
  • 保存当前规则：sudo netfilter-persistent save（或 sudo iptables-save > /etc/iptables/rules.v4；IPv6 使用 ip6tables-save > /etc/iptables/rules.v6）
  • 使规则生效：sudo netfilter-persistent start（或重启服务；部分系统可用 sudo service iptables-persistent restart）
• 注意：UFW 与 iptables 规则管理方式不同，避免混用导致规则冲突或覆盖。

四、安全与验证要点

• 变更前先备份：UFW 可用 sudo ufw status numbered 导出规则编号清单以便回滚；iptables 可直接备份 /etc/iptables/rules.v4 与 /etc/iptables/rules.v6。
• 远程操作务必先放行 SSH（例如：sudo ufw allow ssh 或指定自定义端口），再执行启用/重载，避免被锁死。
• 变更后复核：使用 sudo ufw status verbose 或 sudo iptables -S 检查生效的规则是否与预期一致。