Ubuntu UFW防火墙规则与命令示例大全

在服务器安全领域，防火墙是守护网络安全的坚实盾牌。UFW（Uncomplicated Firewall），即“不复杂的防火墙”，是一个运行在iptables之上的防火墙配置工具，它为Ubuntu系统默认提供了一个简洁的命令行界面，用于配置常见的防火墙使用场景。

本文将带你快速掌握UFW的常用规则和命令，包括如何通过端口、网络接口和源IP地址来允许或阻止服务。

快速上手指南

• 本文采用速查表格式，包含独立的命令行代码片段。
• 可以直接从目录跳转到你想要查看的相关的部分。
• 本篇博客中部分地方，需要替换为你自己的实际网络中的IP地址。

使用sudo ufw status或sudo ufw status verbose可以检查你当前的UFW规则集。

注意:
在尝试使用本篇博客的 UFW 命令前记得先备份你的云服务器的重要数据，建议可以为服务器创建一个快照，学习完 UFW 命令后恢复快照即可。

基础命令

检查UFW状态

要检查ufw是否已启用，运行以下命令：

sudo ufw status

如果输出显示Status: inactive，则表示你的防火墙尚未激活。

启用UFW

如果你在运行ufw status后输出了Status: inactive的消息，这表示系统上的防火墙并未启用。你需要运行一个命令来启用它。
默认情况下，启用UFW会阻止服务器上所有端口的外部访问。实际上，如果你在通过SSH连接到服务器并启用ufw之前没有允许通过SSH端口访问，你将会被断开连接。因此，如果你的情况是这样，请确保按照本指南中的部分先启用SSH访问，然后再启用防火墙。
要在你的系统上启用UFW，运行：

sudo ufw enable

你会看到如下输出：

Firewall is active and enabled on system startup

要查看当前被阻止或允许的内容，你可以在运行ufw status时使用verbose参数：

sudo ufw status verbose

禁用UFW

如果你出于某种原因需要禁用UFW，可以使用以下命令：

sudo ufw disable

请注意，此命令将完全禁用你系统上的防火墙服务。

阻止IP地址

要阻止来自特定IP地址的所有网络连接，请运行以下命令，将高亮的IP地址替换为你想要阻止的IP地址：

sudo ufw deny from 203.0.113.100

如果你现在运行sudo ufw status，你会看到指定的IP地址被列为被拒绝：

Status: active
To                         Action      From
--                         ------      ----
Anywhere                   DENY        203.0.113.100

对于指定的IP地址，所有传入和传出的连接都被阻止。

阻止子网

如果你需要阻止整个子网，你可以使用子网地址作为from参数在ufw deny命令中。这将阻止示例子网203.0.113.0/24中的所有IP地址：

sudo ufw deny from 203.0.113.0/24

阻止特定网络接口的传入连接

要阻止来自特定IP地址到特定网络接口的传入连接，请运行以下命令，将高亮的IP地址替换为你想要阻止的IP地址：

sudo ufw deny in on eth0 from 203.0.113.100

in参数告诉ufw仅对传入连接应用此规则，而on eth0参数指定此规则仅适用于eth0接口。如果你的系统有多个网络接口（包括虚拟的），并且你需要阻止对某些接口的外部访问，而不是全部，这可能会很有用。

允许IP地址

要允许来自特定IP地址的所有网络连接，请运行以下命令，将高亮的IP地址替换为你想要允许访问的IP地址：

sudo ufw allow from 203.0.113.101

如果你现在运行sudo ufw status，你会看到输出类似于这样，显示你刚刚添加的IP地址旁边的ALLOW字样。

Status: active
To                         Action      From
--                         ------      ----
...
Anywhere                   ALLOW       203.0.113.101

你也可以通过提供相应的子网掩码来允许整个子网的连接，例如203.0.113.0/24。

允许特定网络接口的传入连接

要允许来自特定IP地址到特定网络接口的传入连接，请运行以下命令，将高亮的IP地址替换为你想要允许的IP地址：

sudo ufw allow in on eth0 from 203.0.113.102

如果你现在运行sudo ufw status，你会看到输出类似于这样：

Status: active
To                         Action      From
--                         ------      ----
...
Anywhere on eth0           ALLOW       203.0.113.102

删除UFW规则

要删除你之前在UFW中设置的规则，使用ufw delete后跟规则（allow或deny）和目标规格。以下示例将删除之前设置的允许所有来自IP地址203.0.113.101的连接的规则：

sudo ufw delete allow from 203.0.113.101

另一种指定你想要删除的规则的方法是通过提供规则ID。这些信息可以通过以下命令获得：

sudo ufw status numbered

从输出中，你可以看到有两个活动规则。第一个规则，带有高亮值，阻止了来自IP地址203.0.113.100的所有连接。第二个规则允许来自IP地址203.0.113.102的连接在eth0接口上。由于默认情况下UFW已经阻止了所有外部访问，除非明确允许，所以第一个规则是多余的，因此你可以删除它。要按ID删除规则，请运行：

sudo ufw delete 1

你将被提示确认操作，并确保你提供的ID指的是你想要删除的正确规则。

列出可用的应用配置文件

安装后，依赖于网络通信的应用程序通常会设置一个UFW配置文件，你可以使用它来允许来自外部地址的连接。这通常与运行ufw allow from相同，优点是提供了一个快捷方式，抽象了服务使用的具体端口号，并提供了用户友好的术语来引用服务。

要列出当前可用的配置文件，请运行以下命令：

sudo ufw app list

如果你安装了一个服务，如Web服务器或其他依赖网络的软件，而UFW中没有提供配置文件，首先确保服务已启用。对于远程服务器，你通常会有OpenSSH可用：

启用应用配置文件

要启用UFW应用配置文件，请运行ufw allow后跟你想要启用的应用配置文件的名称，你可以通过sudo ufw app list命令获得。以下示例中，我们启用了OpenSSH配置文件，这将允许所有传入的SSH连接在服务器的默认SSH端口上：

sudo ufw allow "OpenSSH"

记住，如果配置文件名称由多个单词组成，如Nginx HTTPS，则需要引用配置文件名称。

禁用应用配置文件

要禁用你之前在UFW中设置的应用配置文件，你需要移除其对应的规则。例如，考虑以下来自sudo ufw status的输出：

sudo ufw status

这表明Nginx Full应用配置文件当前已启用，允许任何和所有连接到Web服务器，无论是通过HTTP还是HTTPS。如果你想只允许HTTPS请求从和到你的Web服务器，你首先需要启用最限制性的规则，在这种情况下将是Nginx HTTPS，然后禁用当前活动的Nginx Full规则：

sudo ufw allow "Nginx HTTPS"
sudo ufw delete allow "Nginx Full"

记住你可以使用sudo ufw app list列出所有可用的应用配置文件。

允许SSH

在处理远程服务器时，你需要确保SSH端口是开放的，以便能够远程登录到你的服务器。

以下命令将启用OpenSSH UFW应用配置文件，并允许所有连接到服务器默认SSH端口：

sudo ufw allow OpenSSH

虽然不太用户友好，另一种语法是指定SSH服务的确切端口号，默认设置为22：

sudo ufw allow 22

允许特定IP地址或子网的传入SSH

要允许来自特定IP地址或子网的传入连接，你将包括一个from指令来定义连接的来源。这将要求你还需要使用to参数指定目标地址。要将此规则锁定到SSH仅，你将限制proto（协议）为tcp，然后使用port参数并将其设置为22，SSH的默认端口。

以下命令将仅允许来自IP地址203.0.113.103的SSH连接：

sudo ufw allow from 203.0.113.103 proto tcp to any port 22

你也可以使用子网地址作为from参数，以允许来自整个网络的SSH连接：

sudo ufw allow from 203.0.113.0/24 proto tcp to any port 22

允许特定IP地址或子网的传入Rsync

Rsync程序在端口873上运行，可用于从一台计算机传输文件到另一台计算机。

要允许来自特定IP地址或子网的传入rsync连接，请使用from参数指定源IP地址，并使用port参数将目标端口设置为873。
以下命令将仅允许来自IP地址203.0.113.103的Rsync连接：

sudo ufw allow from 203.0.113.103 to any port 873

要允许整个203.0.113.0/24子网能够rsync到你的服务器，请运行：

sudo ufw allow from 203.0.113.0/24 to any port 873

允许Nginx HTTP/HTTPS

安装后，Nginx Web服务器在服务器上设置了几种不同的UFW配置文件。一旦你安装并启用了Nginx服务，运行以下命令以识别可用的配置文件：

sudo ufw app list | grep Nginx

要允许HTTP和HTTPS流量，选择Nginx Full。否则，选择Nginx HTTP仅允许HTTP或Nginx HTTPS仅允许HTTPS。

以下命令将允许服务器上的HTTP和HTTPS流量（端口80和443）：

sudo ufw allow "Nginx Full"

允许Apache HTTP/HTTPS

安装后，Apache Web服务器在服务器上设置了几种不同的UFW配置文件。一旦你安装并启用了Apache服务，运行以下命令以识别可用的配置文件：

sudo ufw app list | grep Apache

要允许HTTP和HTTPS流量，选择Apache Full。否则，选择Apache用于HTTP或Apache Secure用于HTTPS。

以下命令将允许服务器上的HTTP和HTTPS流量（端口80和443）：

sudo ufw allow "Apache Full"

允许所有传入HTTP（端口80）

Web服务器，如Apache和Nginx，通常在端口80上监听HTTP请求。如果你的默认策略是丢弃或拒绝传入流量，你需要创建一个UFW规则以允许外部访问端口80。你可以使用端口号或服务名称（http）作为此命令的参数。

要允许所有传入HTTP（端口80）连接，请运行：

sudo ufw allow http

另一种语法是指定HTTP服务的端口号：

sudo ufw allow 80

允许所有传入HTTPS（端口443）

HTTPS通常在端口443上运行。如果你的默认策略是丢弃或拒绝传入流量，你需要创建一个UFW规则以允许外部访问端口443。你可以使用端口号或服务名称（https）作为此命令的参数。

要允许所有传入HTTPS（端口443）连接，请运行：

sudo ufw allow https

另一种语法是指定HTTPS服务的端口号：

sudo ufw allow 443

允许所有传入HTTP和HTTPS

如果你想允许HTTP和HTTPS流量，你可以创建一个单一规则以允许两个端口。这需要你定义协议为tcp。

要允许所有传入HTTP和HTTPS（端口80和443）连接，请运行：

sudo ufw allow proto tcp from any to any port 80,443

允许特定IP地址或子网的MySQL连接

MySQL在端口3306上监听客户端连接。如果你的MySQL数据库服务器被远程服务器上的客户端使用，你需要创建一个UFW规则以允许该访问。

要允许来自特定IP地址或子网的MySQL连接，请使用from参数指定源IP地址，并使用port参数将目标端口设置为3306。

以下命令将允许IP地址203.0.113.103连接到服务器的MySQL端口：

sudo ufw allow from 203.0.113.103 to any port 3306

要允许整个203.0.113.0/24子网能够连接到你的MySQL服务器，请运行：

sudo ufw allow from 203.0.113.0/24 to any port 3306

允许特定IP地址或子网的PostgreSQL连接

PostgreSQL在端口5432上监听客户端连接。如果你的PostgreSQL数据库服务器被远程服务器上的客户端使用，你需要确保允许该流量。

要允许来自特定IP地址或子网的PostgreSQL连接，请指定源为from参数，并将端口设置为5432：

sudo ufw allow from 203.0.113.103 to any port 5432

要允许整个203.0.113.0/24子网能够连接到你的PostgreSQL服务器，请运行：

sudo ufw allow from 203.0.113.0/24 to any port 5432

阻止出站SMTP邮件

邮件服务器，如Sendmail和Postfix，通常使用端口25进行SMTP流量。如果你的服务器不应该发送出站邮件，你可能想要阻止这种流量。要阻止出站SMTP连接，请运行：

sudo ufw deny out 25

这将配置你的防火墙丢弃所有在端口25上的出站流量。如果你需要在不同的端口号上拒绝出站连接，你可以重复此命令并将25替换为你想要阻止的端口号。

UFW高级配置技巧

定制默认策略

UFW允许你设置默认的入站和出站策略。例如，如果你想要拒绝所有传入连接，只允许出站连接，你可以使用以下命令：

sudo ufw default deny incoming
sudo ufw default allow outgoing

基于接口的规则

你可以为特定的网络接口设置规则。例如，如果你想要允许所有通过eth1接口的流量，可以使用：

sudo ufw allow in on eth1

限制速率的规则

为了防止DoS攻击，你可以限制特定IP或服务的连接速率。例如，限制来自IP地址203.0.113.100的SSH连接速率：

sudo ufw limit from 203.0.113.100 to any port 22 proto tcp

基于时间的规则

UFW允许你根据时间来设置规则。例如，你只希望在工作时间内允许SSH访问：

sudo ufw allow from any to any port 22 proto tcp time 9:00-17:00 mon-fri

规则排序

UFW会按照规则在文件中的顺序来处理它们。默认情况下，UFW会先处理允许的规则，然后是拒绝的规则。如果你有特定的顺序需求，可以通过insert命令来插入规则到特定位置：

sudo ufw insert 1 allow from 203.0.113.100 to any

这将在UFW规则列表的第一位插入一条允许规则。

复用规则

如果你有多个规则非常相似，可以使用--src-range和--dst-range来指定一系列IP地址：

sudo ufw allow from 203.0.113.100:203.0.113.200 to any

这将允许从203.0.113.100到203.0.113.200的IP地址范围的流量。

禁用UFW的IPv6支持

如果你的网络环境中不需要IPv6，可以通过以下命令禁用UFW的IPv6支持：

echo "IPV6=no" | sudo tee -a /etc/default/ufw
sudo ufw disable
sudo ufw enable

日志记录

UFW提供了基本的日志记录功能，可以帮助你监控防火墙的活动。你可以启用日志记录，并设置日志级别：

sudo ufw logging on
sudo ufw logging low

导出和导入规则

如果你需要在多个服务器之间同步UFW规则，可以导出当前的规则集，并在其他服务器上导入它们：

sudo ufw status > myfirewallrules.txt
# 在另一台服务器上
sudo ufw reset
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw restore < myfirewallrules.txt

与NAT一起使用

UFW还支持网络地址转换（NAT），这在设置端口转发时非常有用：

sudo ufw allow proto tcp from any to 192.168.1.100 port 8080
sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

定期备份和审查UFW规则

定期备份和审查UFW规则是维护服务器安全的好习惯。以下是如何进行这些操作的步骤：

定期备份UFW规则

导出当前UFW规则：
你可以使用ufw命令导出当前的防火墙规则到一个文件中。打开终端并运行以下命令：

sudo ufw status > ufw-rules.txt

或者，如果你想要更详细的规则信息，可以使用：

sudo ufw status verbose > ufw-rules-verbose.txt

自动化备份：
为了定期备份，你可以将上述命令添加到cron作业中。编辑当前用户的crontab文件：

crontab -e

添加以下行以每天自动备份UFW规则到/home/yourusername/backup/ufw-rules-$(date +%Y%m%d).txt：

0 2 * * * /usr/sbin/ufw status > /home/yourusername/backup/ufw-rules-$(date +\\%Y\\%m\\%d).txt

确保替换yourusername为你的实际用户名，并创建相应的备份目录。

审查UFW规则

审查规则合理性：
定期手动检查UFW规则文件，确认没有不必要的开放端口，以及所有规则是否都符合安全策略。

使用脚本自动化审查：
你可以编写一个简单的脚本来自动化审查过程，比如检查是否有未授权的开放端口：

#!/bin/bash
allowed_ports=$(cat /path/to/allowed_ports.txt)
current_rules=$(sudo ufw status verbose | grep ALLOW)

for rule in $current_rules; do
  if ! echo "$allowed_ports" | grep -q $(echo $rule | awk '{print $NF}'); then
    echo "Unapproved open port found: $rule"
  fi
done

确保/path/to/allowed_ports.txt文件包含所有授权开放的端口，然后运行这个脚本。