Ubuntu 24.04 LTS ufw 防火墙完整配置指南 | 极客日志

Ubuntu 24.04 LTS ufw 防火墙完整配置指南 | 极客日志

sudo apt install ufw -y

# 简洁查看（仅显示防火墙状态和核心规则）
sudo ufw status
# 详细查看（显示规则、端口、协议、来源 IP、默认策略等）
sudo ufw status verbose
# 数字端口 + 编号显示（不显示服务名，规则前加编号，方便后续删除）
sudo ufw status numbered

# 启用防火墙，默认策略：拒绝所有入站连接，允许所有出站连接
sudo ufw enable

sudo ufw disable

sudo ufw reset

# 1. 允许特定端口（默认 TCP 协议，可指定 UDP）
sudo ufw allow 22/tcp # 允许 SSH（22 端口，远程连接必备，重中之重）
sudo ufw allow 80/tcp # 允许 HTTP（80 端口，静态网页服务）
sudo ufw allow 443/tcp # 允许 HTTPS（443 端口，加密网页服务，推荐）
sudo ufw allow 3306/tcp # 允许 MySQL（3306 端口，数据库服务）
sudo ufw allow 5432/tcp # 允许 PostgreSQL（5432 端口，开源数据库）
sudo ufw allow 8080/udp # 示例：允许 UDP 协议的 8080 端口（按需配置）

# 2. 允许特定端口范围（如 1000-2000 端口，TCP 协议）
sudo ufw allow 1000:2000/tcp

# 3. 允许特定服务名（等价于对应端口，更直观，适合新手）
sudo ufw allow ssh # 等价于 allow 22/tcp
sudo ufw allow http # 等价于 allow 80/tcp
sudo ufw allow https # 等价于 allow 443/tcp

# 4. 允许特定 IP 访问所有端口（信任单个 IP，如内网管理机 192.168.1.100）
sudo ufw allow from 192.168.1.100

# 5. 允许特定网段访问特定端口（如允许内网 192.168.1.0/24 网段访问 SSH）
sudo ufw allow from 192.168.1.0/24 to any port 22/tcp

# 6. 允许特定网卡的入站连接（如仅允许 eth0 网卡的 80 端口入站）
sudo ufw allow in on eth0 to any port 80/tcp

# 拒绝某个 IP 访问所有端口（添加 IP 到黑名单，如 192.168.1.200）
sudo ufw deny from 192.168.1.200
# 拒绝所有 IP 访问 3389 端口（Windows 远程桌面端口，避免被恶意扫描）
sudo ufw deny 3389/tcp
# 拒绝特定网段访问特定端口（如拒绝 10.0.0.0/8 网段访问 MySQL）
sudo ufw deny from 10.0.0.0/8 to any port 3306/tcp

# 警告：拒绝所有出站连接（谨慎使用，会导致服务器无法访问外部网络）
sudo ufw default deny outgoing
# 允许出站 SSH 连接（仅允许服务器访问外部 22 端口，用于远程连接其他机器）
sudo ufw allow outgoing 22/tcp
# 允许出站 HTTP/HTTPS（服务器可访问网页、更新系统、下载依赖）
sudo ufw allow outgoing 80/tcp
sudo ufw allow outgoing 443/tcp
# 允许出站数据库连接（如服务器需访问外部 MySQL 数据库）
sudo ufw allow outgoing 3306/tcp

# 方法 1：通过规则编号删除（推荐，精准无误差）
sudo ufw status numbered # 先查看规则编号，假设要删除编号为 3 的规则
sudo ufw delete 3 # 删除编号为 3 的规则

# 方法 2：通过原命令反向删除（需完全匹配，包括端口、协议，易出错）
sudo ufw delete allow 80/tcp # 删除'允许 80 端口 TCP'规则
sudo ufw delete deny from 192.168.1.200 # 删除'拒绝 192.168.1.200'规则

# 1. 允许 SSH（远程管理，必开）
sudo ufw allow ssh
# 2. 允许 HTTP/HTTPS（网页服务，无需则删除）
sudo ufw allow http
sudo ufw allow https
# 3. 允许数据库端口（按需开启，如 MySQL 3306，无需则删除）
sudo ufw allow 3306/tcp
# 4. 配置默认策略：拒绝所有入站，允许所有出站
sudo ufw default deny incoming
sudo ufw default allow outgoing
# 5. 启用防火墙（确认无问题后执行）
sudo ufw enable

# 方案 1：仅允许内网网段访问 SSH（推荐，避免外部 IP 暴力破解）
sudo ufw allow from 192.168.1.0/24 to any port 22/tcp # 内网网段
sudo ufw deny 22/tcp # 拒绝其他所有 IP 访问 SSH

# 方案 2：限制 SSH 连接频率（10 秒内最多 5 次连接，防暴力破解）
# Ubuntu 24.04 已预装相关模块，直接执行即可
sudo ufw limit ssh/tcp

# 允许入站 ping（ICMP 协议，其他机器可 ping 通服务器）
sudo ufw allow in proto icmp from any to any icmp-type echo-request
# 允许出站 ping 回复（服务器 ping 其他机器后，可接收回复）
sudo ufw allow out proto icmp from any to any icmp-type echo-reply

# 1. 临时启用内核 IP 转发（重启服务器后失效）
sudo sysctl net.ipv4.ip_forward=1
# 2. 永久启用内核 IP 转发（编辑 sysctl 配置文件）
sudo nano /etc/sysctl.conf # 取消注释或添加一行：net.ipv4.ip_forward=1
# 保存退出后，执行以下命令使配置生效
sudo sysctl -p
# 3. 添加端口转发规则（假设服务器外网网卡为 eth0）
# 将服务器 8080 端口（TCP）转发到内网 192.168.1.10 的 80 端口
sudo ufw route allow in on eth0 from any to any port 8080/tcp to 192.168.1.10 port 80/tcp

# 查看 ufw 服务状态（确认是否开机自启）
sudo systemctl status ufw
# 启用开机自启（默认已启用，若被禁用则执行）
sudo systemctl enable ufw
# 禁用开机自启（不推荐，重启后防火墙失效）
sudo systemctl disable ufw

# 启用日志（低级别，仅记录关键连接信息，推荐）
sudo ufw logging on
# 启用高级日志（记录所有连接细节，适合精准排查问题）
sudo ufw logging full
# 实时查看日志（默认日志路径：/var/log/ufw.log）
sudo tail -f /var/log/ufw.log
# 关闭日志
sudo ufw logging off