UFW 防火墙命令

admin

安装ufw
4 k) E( g" y- @* E9 A% W8 y在 Debian、Ubuntu 或其衍生版本上，打开终端并执行以下命令安装：
) A7 G" w% V) b# k8 V+ b8 a8 [. [
# 安装ufw
. e2 Y4 I: D; f1 X" I6 b

1. sudo apt-get update
   
2. sudo apt-get install ufw

复制代码

' P: v/ A& q; M9 r" u# 启动ufw
' n& G# N0 L0 S8 ?6 I

1. sudo ufw enable

复制代码

# 设置为开机自启

1. sudo systemctl enable ufw

复制代码

* O- [. K  h/ u/ @执行sudo ufw status查看当前状态，通常有3种状态：
* ?7 k9 [5 x* L0 w  e7 c: R* z

1. Status: inactive（未启用）：表示 UFW 没有启用，防火墙处于关闭状态。
   ( Z& A3 E7 j* Q
2. Status: active（已启用）：表示 UFW 已经启用，并且防火墙规则正在应用于系统。
   ! S7 Q3 j1 [  B8 b% N
3. Status: inactive (dead)（未启用且未运行）：表示 UFW 已被禁用，并且防火墙未在系统中运行。

复制代码

0 n* E8 S$ h5 h4 |) X/ B7 L$ B1 Bufw放行端口
ufw的命令比firewalld简洁许多，比如你想放行单个端口，只需要执行：
) H$ X8 T! E  h# {# 将 <port> 替换为你要放行的具体端口号。例如，要放行 TCP 端口 80，可以执行 sudo ufw allow 80。
$ U+ l! r9 ]7 ~

1. sudo ufw allow <port>

复制代码

如果需要放行特定协议的端口，我们需要加上协议：
1 \1 M0 [0 R* s& S) y! O
1 C/ n5 R5 L( a) b# 将 <port> 替换为端口号，<protocol> 替换为协议类型（如 tcp、udp）。例如，要放行 UDP 端口 53，可以执行 sudo ufw allow 53/udp。
- n2 `5 ^% `; d6 q' V2 x

1. sudo ufw allow <port>/<protocol>

复制代码

放行一个端口范围：
. u" p+ O: D3 m: T1 c0 ^

1. sudo ufw allow <start-port>:<end-port>/<protocol>

复制代码

将 <start-port> 替换为起始端口号，<end-port> 替换为结束端口号,<protocol>为协议。例如，要放行 TCP 端口范围 8000 到 9000，可以执行

1. sudo ufw allow 8000:9000/tcp

复制代码

, ?; a& \7 C6 c) ?ufw删除已经放行的规则或端口
要在ufw（Uncomplicated Firewall）中删除已添加的规则，您可以通过规则号或者具体的放行条件来删除。以下是两种方法：
3 v) I2 J3 o0 D8 v' X4 o
- N: a4 H2 ~& N, B方法1：通过规则号删除
, W; h$ b, ~  B& i) S: V& q0 D& X首先，运行以下命令以查看当前ufw的状态和现有规则：
& O5 }0 w' Z% H9 l

1. sudo ufw status numbered

复制代码

. u5 x5 o- f# F2 L这将显示带有编号的规则列表。
4 M2 Q! e6 s; V% t. u6 S, U+ ^确定您要删除的规则的编号，然后使用以下命令删除它，将[rule_number]替换为实际的规则编号：

1. sudo ufw delete [rule_number]

复制代码

4 M! M) a% v$ R, [4 L8 W例如，要删除编号为1的规则，运行：

1. sudo ufw delete 1

复制代码

方法2：通过放行条件删除
! D& ]. J8 \, g9 C% }% m( Z您还可以通过指定放行条件（例如端口和协议）来删除规则。例如，要删除允许TCP端口80的规则，您可以运行：
+ [' u7 N9 Z- e+ ]

1. sudo ufw delete allow 80/tcp

复制代码

, {4 o1 i# x- A或者，如果要删除允许UDP端口5000的规则，您可以运行：
8 M; Q/ a3 D1 {' E* e( m0 s9 r/ H

1. sudo ufw delete allow 5000/udp

复制代码

删除规则后，再次运行sudo ufw status以确认所选规则已从ufw中删除。

7 p. f1 ]4 B+ }* n$ z阻止某个特定的IP
6 U5 g, P- j8 d) h9 b0 v* H+ v' A使用以下命令阻止来自特定IP（例如1.2.3.4）的连接：
. B  L  b8 `* w7 L% Z6 ]3 x8 _

1. sudo ufw deny from 1.2.3.4

复制代码

允许特定IP访问特定端口
4 b$ A) E6 B* W使用以下命令允许特定IP访问特定端口。将[ip_address]替换为要允许的实际IP地址，将[port_number]替换为要允许访问的实际端口号，将[protocol]替换为tcp或udp，具体取决于您要放行的协议：
2 i. ~  S+ |) @# y' z5 r3 K

1. sudo ufw allow from [ip_address] to any port [port_number]/[protocol]

复制代码

: a0 ~* ^. l" {8 p' P例如，要允许IP地址1.2.3.4访问TCP端口22，您可以运行：
7 B) E! \% k- {$ K

1. sudo ufw allow from 1.2.3.4 to any port 22/tcp

复制代码

! O) M' n8 L% t0 `