如何在Debian 10系统的云服务器上使用UFW设置防火墙

发布人：欢子发布时间：2026-01-21 15:10 阅读量：20

UFW或UncomplicatedFirewall是iptables一个接口，旨在简化配置防火墙的过程。虽然iptables是一个可靠而灵活的工具，但初学者很难学会如何使用它来正确配置防火墙。如果您希望开始保护网络并且不确定使用哪种工具，UFW可能是您的正确选择。本教程将向您展示如何在debian10系统的云服务器上使用UFW设置防火墙。

先决条件：要学习本教程，您需要一台带有sudo非root用户的Debian10服务器，您可以按照Debian10初始服务器设置教程中的第1步-3进行设置。

第1步C安装UFW

Debian默认不安装UFW。如果您遵循整个初始服务器安装教程，则您将安装并启用UFW。如果没有，请使用apt立即安装：

sudoaptinstallufw

我们将设置UFW并按以下步骤启用它。

第2步C将IPv6与UFW一起使用(可选)

本教程是以IPv4编写的，但只要您启用它就适用于IPv6。如果您的Debian服务器启用了IPv6，您需要确保将UFW配置为支持IPv6;这将确保UFW除了IPv4之外还将管理IPv6的防火墙规则。要配置它，请使用nano或您喜欢的编辑器打开UFW配置文件/etc/default/ufw：

sudonano/etc/default/ufw

然后确保IPV6值为yes。它应该如下所示：

/etc/default/ufw摘录

IPV6=yes

保存并关闭文件。现在，当启用UFW时，它将配置为同时写入IPv4和IPv6防火墙规则。但是，在启用UFW之前，您需要确保将防火墙配置为允许您通过SSH进行连接。让我们从设置默认策略开始。

第3步C设置默认策略

如果您刚开始使用防火墙，则要定义的第一个规则是您的默认策略。这些规则处理未明确匹配任何其他规则的流量。默认情况下，UFW设置为拒绝所有传入连接并允许所有传出连接。这意味着任何尝试访问您服务器的人都无法连接，而服务器中的任何应用程序都可以访问外部世界。

让我们将您的UFW规则设置回默认值，以便我们确保您能够按照本教程进行操作。要设置UFW使用的默认值，请使用以下命令：

sudoufwdefaultdenyincoming

sudoufwdefaultallowoutgoing

这些命令将默认值设置为拒绝传入并允许传出连接。仅这些防火墙默认值可能足以用于个人计算机，但服务器通常需要响应来自外部用户的传入请求。我们接下来会调查一下。

第4步C允许SSH连接

如果我们现在启用了我们的ufw防火墙，它将拒绝所有传入的连接。这意味着，如果我们希望服务器响应这些类型的请求，我们将需要创建明确允许合法传入连接的规则C例如SSH或HTTP连接。如果您使用的是云服务器，则可能需要允许传入的SSH连接，以便连接和管理服务器。

要将服务器配置为允许传入SSH连接，可以使用以下命令：

sudoufwallowssh

这将创建防火墙规则，允许端口22上的所有连接，这是SSH守护程序默认监听的端口。UFW知道什么端口allowssh意思，因为它在/etc/services文件中列为/etc/services。

但是，我们实际上可以通过指定端口而不是服务名来编写等效规则。例如，此命令产生与上面相同的结果：

sudoufwallow22

如果将SSH守护程序配置为使用其他端口，则必须指定相应的端口。例如，如果SSH服务器正在监听端口2222，则可以使用此命令允许该端口上的连接：

sudoufwallow2222

现在您的防火墙已配置为允许传入SSH连接，您可以启用它。

第5步C启用UFW

要启用UFW，请使用以下命令：

sudoufwenable

您将收到一条警告，指出该命令可能会破坏现有的SSH连接。我们已经设置了允许SSH连接的防火墙规则，因此可以继续。用y回应提示ENTER。

防火墙现在处于活动状态。运行sudoufwstatusverbose命令以查看已设置的规则。本教程的其余部分将介绍如何更详细地使用UFW，包括允许和拒绝不同类型的连接。

第6步C允许其他连接

此时，您应该允许服务器需要的所有其他连接正常运行。您应该允许的连接取决于您的特定需求。幸运的是，您已经知道如何编写允许基于服务名称或端口的连接的规则;我们已经在端口22上为SSH做了这个。你也可以这样做：

端口80上的HTTP，这是未加密的Web服务器使用的。要允许此类流量，您可以键入sudoufwallowhttp或sudoufwallow80。

端口443上的HTTPS，这是加密的Web服务器使用的。要允许此类流量，您可以键入sudoufwallowhttps或sudoufwallow443。

但是，除了指定端口或已知服务之外，还有其他方法可以允许连接。我们将讨论下一步。

特定端口范围

您可以使用UFW指定端口范围。例如，某些应用程序使用多个端口而不是单个端口。

例如，要允许使用端口6000C6007X11连接，请使用以下命令：

sudoufwallow6000:6007/tcp

sudoufwallow6000:6007/udp

使用UFW指定端口范围时，必须指定规则应适用的协议(tcp或udp)。我们之前没有提到这一点，因为没有指定协议会自动允许两种协议，这在大多数情况下都可以。

特定的IP地址

使用UFW时，您还可以指定IP地址。例如，如果要允许来自特定IP地址的连接(例如工作或家庭IP地址203.0.113.4，则需要指定IP地址，然后指定IP地址：

sudoufwallowfrom203.0.113.4

您还可以通过添加toanyport后跟端口号toanyport指定允许IP地址连接的特定端口。例如，如果要允许203.0.113.4连接到端口22(SSH)，请使用以下命令：

sudoufwallowfrom203.0.113.4toanyport22

子网

如果要允许IP地址子网，可以使用CIDR表示法指定网络掩码。例如，如果要允许所有IP地址范围从203.0.113.1到203.0.113.254，则可以使用此命令：

sudoufwallowfrom203.0.113.0/24

同样，您也可以指定允许子网203.0.113.0/24连接的目标端口。同样，我们将使用端口22(SSH)作为示例：

sudoufwallowfrom203.0.113.0/24toanyport22

与特定网络接口的连接

如果要创建仅适用于特定网络接口的防火墙规则，可以通过指定allowinon，然后指定网络接口的名称来执行此操作。

您可能希望在继续之前查找网络接口。为此，请使用以下命令：

ipaddr

Output2:eth0:mtu1500qdiscpfifo_faststate

...

3:eth1:mtu1500qdiscnoopstateDOWNgroupdefault

...

突出显示的输出表示网络接口名称。它们通常被命名为eth0或enp3s2。

例如，如果您的服务器具有名为eth0的公共网络接口，则可以使用以下命令允许HTTP流量：

sudoufwallowinoneth0toanyport80

这样做将允许您的服务器从公共互联网接收HTTP请求。

或者，如果您希望MySQL数据库服务器(端口3306)监听专用网络接口eth1上的连接，则可以使用以下命令：

sudoufwallowinoneth1toanyport3306

这将允许专用网络上的其他服务器连接到MySQL数据库。

第7步C拒绝连接

如果尚未更改传入连接的默认策略，则UFW配置为拒绝所有传入连接。通常，这会通过要求您创建明确允许特定端口和IP地址的规则来简化创建安全防火墙策略的过程。

有时您会想要根据源IP地址或子网拒绝特定连接，但是，可能是因为您知道您的服务器正在受到攻击。此外，如果要将默认传入策略更改为允许(不建议这样做)，则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。

要编写拒绝规则，您可以使用上述命令，将allow替换为deny。

例如，要拒绝HTTP连接，可以使用以下命令：

sudoufwdenyhttp

或者，如果要拒绝来自203.0.113.4所有连接，可以使用此命令：

sudoufwdenyfrom203.0.113.4

现在让我们来看看如何删除规则。

第8步C删除规则

了解如何删除防火墙规则与了解如何创建它们同样重要。有两种方法可以指定要删除的规则：规则编号或规则本身。这与创建规则时的规则类似。我们首先通过规则编号方法解释删除。

按规则编号

如果您使用规则编号删除防火墙规则，那么您要做的第一件事就是获取防火墙规则列表。UFWstatus命令具有numbered选项，该选项显示每个规则旁边的数字：

sudoufwstatusnumbered

OutputStatus:active

ToActionFrom

――――-

[1]22ALLOWIN15.15.15.0/24

[2]80ALLOWINAnywhere

如果我们决定要删除允许端口80上的HTTP连接的规则2，我们可以在以下UFWdelete命令中指定：

sudoufwdelete2

这将显示确认提示，您可以使用y/n回答。输入y将删除规则2。请注意，如果启用了IPv6，则还需要删除相应的IPv6规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。例如，如果要删除allowhttp规则，可以这样写：

sudoufwdeleteallowhttp

您还可以使用allow80而不是服务名称指定规则：

sudoufwdeleteallow80

此方法将删除IPv4和IPv6规则(如果存在)。

第9步C检查UFW状态和规则

上一篇：香港美国云服务器ip被墙怎么回事?为什么境外服务器会被墙?

下一篇：IPV6服务器安装宝塔及搭建网站教程

更多栏目

新闻动态

文档中心

下载中心

目录结构

全文

产品与服务

平台节点监控

支持与服务

了解我们

如何在Debian 10系统的云服务器上使用UFW设置防火墙