【知识库】Linux防火墙设置简明教程

linux防火墙配置不如windows防火墙那么方便，下面我用UbuntuServer为例，讲解一下Linux防火墙的配置方法：

Linux基本都是命令行操作，所以简单的命令原理还得啰嗦一下照顾小白：

sudo命令：一般你登录Linux都是用你装系统时候的账号登录（为了安全可能是非root账号登录），这时候如果你要做一些系统级的操作，就需要sudo命令作为你操作命令的前缀。

简单地说，比如我现在用的是fvce这个用户登录的，我就只能在linux根目录下的home目录下的fvce目录中活动（/home/fvce）。而很多系统级操作是对根目录下的文件夹操作（也就是home的上层），所以fvce就没有权限咯。

原本如果是超级管理员（root）身份的话，执行一个命令：ufw status 就可以查询防火墙状态，现在由于没有权限，所以就需要临时穿上root（超级管理员）的马甲进行操作，命令格式就变成了——

sudo ufw status

很好理解吧，这个命令输入完以后，系统会紧接着要求你输入超级管理员密码，密码验证完命令就执行了，如下图——

上面的命令格式如果你理解了，那下面就是命令清单，你照猫画虎去执行命令就OK，另外叮咛一句：windows服务器一般用的是远程桌面进行操作，所以配置防火墙的时候一定要提前把3389（远程桌面rdp协议的端口）设置为允许，以防止操作者被关到防火墙门外。

Linux的远程操作用的是命令行，一般是ssh协议，这个协议的默认端口是22，你配置防火墙时也要优先把这个端口设置为允许，以防把你锁到门外平添麻烦。

基础命令：

sudo ufw enable 启用防火墙

sudo ufw disable 禁用防火墙

sudo ufw status 查询防火墙状态

sudo ufw allow 80 允许80端口（所有协议）

sudo ufw allow 80/tcp 允许tcp协议的80端口

sudo ufw allow ssh 允许特定服务（例如：ssh）

sudo ufw deny 80 禁止特定端口

sudo ufw deny ssh 禁止特定服务（例如：ssh）

sudo ufw deny all 禁止所有进出流量

sudo ufw delete 规则序号 删除规则

sudo ufw status verbose 列出已启用的规则

sudo ufw status numbered 列出已启用的规则及编号

命令实例：

//允许任何IP访问80
sudo ufw allow from any to any port 80/tcp

//仅允许内网IP访问80
sudo ufw allow from 192.168.1.0/24 to any port 80/tcp

如果要设置无限多IP作为作用域，可以先创建一个配置文件（例如：fwc.txt）：

# HTTP traffic
allow from 192.168.0.1
allow from 192.168.0.0/24
allow from 10.0.0.0/8
allow from 172.16.0.0/12
allow from 203.0.113.0/24
allow from 2001:db8::/32

# HTTPS traffic
allow from 192.168.1.1
allow from 192.168.1.0/24
allow from 10.1.0.0/16
allow from 172.17.0.0/16
allow from 2001:db8:abcd::/48

然后通过命令把这个配置文件导入就行了

sudo ufw allow from file /path/to/your/config/fwx.txt

作用域：这是一个很重要的概念，意思是某条防火墙规则，对哪些范围起作用，例如——、ping命令 或 443端口的SMB共享服务，我只想面对192.168.1.0-192.168.1.255的范围开放，其他外网不开放本服务，这时候就需要给443规则设置作用域。

也就是说：设置作用域比单纯开放端口的管理方式要精致的多，很多云厂商都免费提供了防火墙服务，允许你开放或关闭某些端口，但如果要精细设置作用域，那就得你在操作系统内的防火墙中设置了。

顺便提一句：windows的防火墙设置作用域更简单——

防火墙配置是任何操作系统的核心工作之一，在目前信息安全形势下，安全防护的意义甚至大于项目本身，以此文给大家做个简单的备忘，欢迎收藏备查。