UFW，即简单防火墙，是一个 Arch Linux、Debian 或 Ubuntu 中管理防火墙规则的前端。 UFW 通过命令行使用（尽管它有可用的 GUI），它的目的是使防火墙配置简单（即不复杂）。

　　-- Linode

　　本文导航

-开始之前04%

-安装 UFW13%

-Arch Linux19%

-Debian / Ubuntu22%

-使用 UFW 管理防火墙规则23%

-设置默认规则24%

-添加规则33%

-高级规则43%

-删除规则51%

-编辑 UFW 的配置文件54%

-UFW 状态62%

-启用防火墙69%

-日志记录74%

　　作者： Linode

　　译者： geekpi

　　UFW，即简单防火墙uncomplicated firewall，是一个 Arch Linux、Debian 或 Ubuntu 中管理防火墙规则的前端。 UFW 通过命令行使用（尽管它有可用的 GUI），它的目的是使防火墙配置简单（即不复杂uncomplicated）。

　　开始之前

　　1、 熟悉我们的入门[1]指南，并完成设置服务器主机名和时区的步骤。

　　2、 本指南将尽可能使用 sudo。 在完成[2]指南的章节，创建一个标准用户帐户，强化 SSH 访问和移除不必要的网络服务。 但不要跟着创建防火墙部分 - 本指南是介绍使用 UFW 的，它对于 iptables 而言是另外一种控制防火墙的方法。

　　3、 更新系统

　　Arch Linux

sudopacman -Syu

　　Debian / Ubuntu

sudoapt-getupdate &&sudoapt-getupgrade

　　安装 UFW

　　UFW 默认包含在 Ubuntu 中，但在 Arch 和 Debian 中需要安装。 Debian 将自动启用 UFW 的 systemd 单元，并使其在重新启动时启动，但 Arch 不会。 这与告诉 UFW 启用防火墙规则不同，因为使用 systemd 或者 upstart 启用 UFW 仅仅是告知 init 系统打开 UFW 守护程序。

　　默认情况下，UFW 的规则集为空，因此即使守护程序正在运行，也不会强制执行任何防火墙规则。 强制执行防火墙规则集的部分在下面。

　　Arch Linux

　　1、 安装 UFW：

sudopacman -S ufw

　　2、 启动并启用 UFW 的 systemd 单元：

sudosystemctlstart ufw

sudosystemctlenable ufw

　　Debian / Ubuntu

　　1、 安装 UFW

sudoapt-getinstall ufw

　　使用 UFW 管理防火墙规则

　　设置默认规则

　　大多数系统只需要打开少量的端口接受传入连接，并且关闭所有剩余的端口。 从一个简单的规则基础开始，ufw default命令可以用于设置对传入和传出连接的默认响应动作。 要拒绝所有传入并允许所有传出连接，那么运行：

sudoufw defaultallow outgoing

sudoufw defaultdeny incoming

　　ufw default 也允许使用 reject 参数。

　　警告：

　　除非明确设置允许规则，否则配置默认 deny 或 reject 规则会锁定你的服务器。确保在应用默认 deny 或 reject 规则之前，已按照下面的部分配置了 SSH 和其他关键服务的允许规则。

　　添加规则

　　可以有两种方式添加规则：用端口号或者服务名表示。

　　要允许 SSH 的 22 端口的传入和传出连接，你可以运行：

sudoufw allow ssh

　　你也可以运行：

sudoufw allow 22

　　相似的，要在特定端口（比如 111）上 deny 流量，你需要运行：

sudoufw deny 111

　　为了更好地调整你的规则，你也可以允许基于 TCP 或者 UDP 的包。下面例子会允许 80 端口的 TCP 包：

sudoufw allow 80/tcp

sudoufw allow http/tcp

　　这个会允许 1725 端口上的 UDP 包：

sudoufw allow 1725/udp

　　高级规则

　　除了基于端口的允许或阻止，atv直播，UFW 还允许您按照 IP 地址、子网和 IP 地址/子网/端口的组合来允许/阻止。

　　允许从一个 IP 地址连接：

sudoufw allow from123.45.67.89

　　允许特定子网的连接：

sudoufw allow from123.45.67.89/24

　　允许特定 IP/ 端口的组合：

sudoufw allow from123.45.67.89to any port 22proto tcp

　　proto tcp 可以删除或者根据你的需求改成 proto udp，所有例子的 allow 都可以根据需要变成 deny。

　　删除规则

　　要删除一条规则，在规则的前面加上 delete。如果你希望不再允许 HTTP 流量，你可以运行：

sudoufw deleteallow 80

　　删除规则同样可以使用服务名。

　　编辑 UFW 的配置文件