前些天发现了一个巨牛的人工智能学习网站，通俗易懂，风趣幽默，忍不住分享一下给大家。点击跳转到网站。

简介

UFW（Uncomplicated Firewall）是一个面向简化配置防火墙过程的 iptables 接口。虽然 iptables 是一个稳定且灵活的工具，但对于初学者来说，学习如何正确配置防火墙可能会有一定难度。如果你想开始保护你的网络，但又不确定应该使用哪种工具，那么 UFW 可能是你的正确选择。

本教程将向您展示如何在 Ubuntu 16.04 上使用 UFW 设置防火墙。

先决条件

要按照本教程操作，您需要：

• 一个安装了 sudo 非 root 用户的 Ubuntu 16.04 服务器，您可以按照《在 Ubuntu 16.04 上进行初始服务器设置》中的步骤 1-3 进行设置。

UFW 默认已安装在 Ubuntu 上。如果由于某些原因它被卸载了，您可以使用 sudo apt-get install ufw 命令进行安装。

步骤 1 —— 使用 IPv6 配置 UFW（可选）

本教程是针对 IPv4 编写的，但只要启用了 IPv6，它也适用于 IPv6。如果您的 Ubuntu 服务器已启用 IPv6，请确保 UFW 配置支持 IPv6，以便它管理 IPv6 和 IPv4 的防火墙规则。为此，使用 nano 或您喜欢的编辑器打开 UFW 配置。

sudo nano /etc/default/ufw

然后确保 IPV6 的值为 yes。它应该是这样的：

...
IPV6=yes
...

保存并关闭文件。现在，当启用 UFW 时，它将被配置为编写 IPv4 和 IPv6 防火墙规则。但是，在启用 UFW 之前，我们需要确保您的防火墙已配置为允许您通过 SSH 进行连接。让我们从设置默认策略开始。

步骤 2 —— 设置默认策略

如果您刚开始使用防火墙，首先要定义的规则是默认策略。这些规则控制如何处理不明确匹配任何其他规则的流量。默认情况下，UFW 被设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图连接到您的云服务器的人都无法连接，而服务器内的任何应用程序都可以连接到外部世界。

让我们将您的 UFW 规则设置回默认值，以确保您能够按照本教程进行操作。要设置 UFW 使用的默认值，请使用以下命令：

sudo ufw default deny incoming
sudo ufw default allow outgoing

这些命令将默认设置为拒绝传入连接并允许传出连接。这些防火墙默认值可能足够用于个人计算机，但服务器通常需要响应来自外部用户的传入请求。我们将在下一步中进行讨论。

步骤 3 —— 允许 SSH 连接

如果现在启用我们的 UFW 防火墙，它将拒绝所有传入连接。这意味着如果我们希望服务器响应这些类型的请求 — 例如 SSH 或 HTTP 连接 — 我们需要创建明确允许合法传入连接的规则。如果您使用的是云服务器，您可能希望允许传入的 SSH 连接，以便连接到并管理您的服务器。

要配置服务器允许传入的 SSH 连接，您可以使用以下命令：

sudo ufw allow ssh

这将创建防火墙规则，允许在默认情况下 SSH 守护程序监听的端口 22 上的所有连接。UFW 知道 SSH 和许多其他服务名称的含义，因为它们在 /etc/services 文件中列出。

但是，我们实际上可以通过指定端口而不是服务名称来编写等效规则。例如，此命令与上面的命令相同：

sudo ufw allow 22

如果您配置了 SSH 守护程序使用不同的端口，您将需要指定适当的端口。例如，如果您的 SSH 服务器正在端口 2222 上监听，您可以使用此命令允许该端口上的连接：

sudo ufw allow 2222

现在，您的防火墙已配置为允许传入的 SSH 连接，我们可以启用它。

步骤 4 —— 启用 UFW

要启用 UFW，请使用此命令：

sudo ufw enable

您将收到一个警告，指出该命令可能会中断现有的 SSH 连接。我们已经设置了一个允许 SSH 连接的防火墙规则，所以继续进行应该没问题。用 y 响应提示。

防火墙现在已激活。随时运行 sudo ufw status verbose 命令查看设置的规则。本教程的其余部分将更详细地介绍如何使用 UFW，比如允许或拒绝不同类型的连接。

步骤 5 — 允许其他连接

到目前为止，您应该允许服务器需要响应的所有其他连接。您应该允许的连接取决于您的具体需求。幸运的是，您已经知道如何编写基于服务名称或端口的连接规则；我们已经为端口22上的SSH做过这个操作。您还可以为以下服务执行此操作：

• HTTP使用端口80，这是非加密的 Web 服务器使用的端口，使用sudo ufw allow http或sudo ufw allow 80
• HTTPS使用端口443，这是加密的 Web 服务器使用的端口，使用sudo ufw allow https或sudo ufw allow 443
• FTP使用端口21，用于非加密文件传输（您可能不应该使用），使用sudo ufw allow ftp或sudo ufw allow 21/tcp

除了指定端口或已知服务外，还有其他几种允许其他连接的方法。

指定端口范围

您可以使用 UFW 指定端口范围。一些应用程序使用多个端口，而不是单个端口。

例如，要允许使用端口6000-6007的X11连接，请使用以下命令：

sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

在使用 UFW 指定端口范围时，您必须指定规则应用的协议（tcp或udp）。我们之前没有提到这一点，因为不指定协议简单地允许两种协议，这在大多数情况下都可以。

指定 IP 地址

在使用 UFW 时，您还可以指定 IP 地址。例如，如果您想允许来自特定 IP 地址的连接，比如工作或家庭 IP 地址15.15.15.51，您需要指定from，然后是 IP 地址：

sudo ufw allow from 15.15.15.51

您还可以通过添加to any port后跟端口号来指定 IP 地址允许连接的特定端口。例如，如果您想允许15.15.15.51连接到端口22（SSH），请使用此命令：

sudo ufw allow from 15.15.15.51 to any port 22

子网

如果要允许 IP 地址的子网，可以使用 CIDR 表示法指定子网掩码。例如，如果要允许从15.15.15.1到15.15.15.254的所有 IP 地址，可以使用此命令：

sudo ufw allow from 15.15.15.0/24

同样，您还可以指定子网15.15.15.0/24允许连接到的目标端口。同样，我们将使用端口22（SSH）作为示例：

sudo ufw allow from 15.15.15.0/24 to any port 22

连接到特定网络接口

如果要创建仅适用于特定网络接口的防火墙规则，可以通过指定“allow in on”后跟网络接口的名称来实现。

在继续之前，您可能需要查找您的网络接口。要这样做，请使用此命令：

ip addr

[secondary_label 输出摘录：]
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
...
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default 
...

突出显示的输出指示了网络接口名称。它们通常被命名为eth0或eth1之类的名称。

因此，如果您的服务器有一个名为eth0的公共网络接口，您可以使用此命令允许 HTTP 流量（端口80）到达它：

sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器从公共互联网接收 HTTP 请求。

或者，如果您希望您的 MySQL 数据库服务器（端口3306）在私有网络接口eth1上监听连接，例如，您可以使用此命令：

sudo ufw allow in on eth1 to any port 3306

这将允许私有网络上的其他服务器连接到您的 MySQL 数据库。

步骤 6 — 拒绝连接

如果您没有更改传入连接的默认策略，UFW 配置为拒绝所有传入连接。通常，这简化了通过要求您明确允许特定端口和 IP 地址的规则来创建安全防火墙策略的过程。

但是，有时您可能希望基于源 IP 地址或子网拒绝特定连接，也许是因为您知道您的服务器正在受到攻击。此外，如果您想将默认传入策略更改为允许（出于安全考虑不建议），则需要为任何不希望允许连接的服务或 IP 地址创建拒绝规则。

要编写拒绝规则，可以使用上面描述的命令，将allow替换为deny。

例如，要拒绝 HTTP 连接，您可以使用此命令：

sudo ufw deny http

或者，如果您想拒绝来自15.15.15.51的所有连接，您可以使用此命令：

sudo ufw deny from 15.15.15.51

现在让我们看看如何删除规则。

步骤 7 — 删除规则

了解如何删除防火墙规则与了解如何创建它们一样重要。有两种不同的方式来指定要删除的规则：按规则编号或按实际规则（类似于创建规则时指定规则的方式）。我们将从按规则编号删除的方法开始，因为与编写要删除的实际规则相比，这种方法对于 UFW 新手来说更容易。

按规则编号

如果您使用规则编号来删除防火墙规则，首先要做的是获取防火墙规则的列表。UFW 状态命令有一个选项，可以在每个规则旁边显示编号，如下所示：

sudo ufw status numbered

[secondary_label 编号输出:]
状态：activeTo                         Action      From--                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

如果我们决定要删除规则 2，即允许端口 80（HTTP）连接的规则，我们可以在 UFW 删除命令中指定如下：

sudo ufw delete 2

这将显示一个确认提示，然后删除允许 HTTP 连接的规则 2。请注意，如果您已启用 IPv6，则还应删除相应的 IPv6 规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。例如，如果要删除允许 http规则，可以这样写：

sudo ufw delete allow http

您还可以按服务名称而不是按端口号allow 80来指定规则：

sudo ufw delete allow 80

如果存在的话，此方法将删除 IPv4 和 IPv6 规则。

步骤 8 — 检查 UFW 状态和规则

随时可以使用以下命令检查 UFW 的状态：

sudo ufw status verbose

如果 UFW 处于禁用状态（默认情况下是这样），您将看到类似以下内容：

状态：inactive

如果 UFW 处于活动状态（如果您按照第 3 步进行了设置，它应该是活动的），输出将显示它是活动的，并列出任何设置的规则。例如，如果防火墙设置为允许来自任何地方的 SSH（端口22）连接，则输出可能如下所示：

状态：active
日志记录：on（低）
默认：deny（入站），allow（出站），disabled（路由）
新配置文件：skipTo                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere

如果要检查 UFW 如何配置防火墙，请使用status命令。

步骤 9 — 禁用或重置 UFW（可选）

如果您决定不使用 UFW，可以使用以下命令禁用它：

sudo ufw disable

使用 UFW 创建的任何规则将不再生效。如果以后需要激活它，可以随时运行sudo ufw enable。

如果您已经配置了 UFW 规则，但决定要重新开始，可以使用重置命令：

sudo ufw reset

这将禁用 UFW 并删除先前定义的任何规则。请注意，如果您在任何时候修改了默认策略，它们的默认设置不会更改。这应该让您以全新的状态开始使用 UFW。

结论

您的防火墙现在应该配置为允许（至少）SSH 连接。请确保允许服务器的任何其他入站连接，同时限制任何不必要的连接，以使您的服务器既功能正常又安全。

要了解更多常见的 UFW 配置，请查看 UFW 基础知识：常见防火墙规则和命令教程。