如何配置UFW允许特定端口访问？

一、UFW基础概念与启用流程

UFW（Uncomplicated Firewall）是Ubuntu等Linux发行版中默认提供的一个简化版防火墙管理工具，底层基于iptables，旨在为系统管理员提供更易用的命令行接口。

在配置任何规则前，必须确保UFW处于启用状态。使用以下命令检查并启用UFW：

sudo ufw status
sudo ufw enable

• 注意事项：启用UFW后，默认策略为拒绝所有入站，允许所有出站。
• 默认策略可通过命令修改：sudo ufw default deny incoming 和 sudo ufw default allow outgoing

二、配置允许特定端口的入站访问

配置UFW规则允许特定端口（如80、443或自定义端口）的入站访问是常见的操作。以下是一些常用命令：

目标端口	协议	命令示例
80（HTTP）	TCP	sudo ufw allow 80/tcp
443（HTTPS）	TCP	sudo ufw allow 443/tcp
3000（自定义服务）	TCP	sudo ufw allow 3000/tcp

你也可以使用服务名称代替端口号，如：

sudo ufw allow http
sudo ufw allow https

• 注意：如果系统中有多个服务监听同一端口，应确保应用层配置正确。

三、限制来源IP以增强安全性

在开放端口时，为了提升安全性，通常需要限制访问来源IP。UFW支持通过IP地址或子网来限制访问：

sudo ufw allow from 192.168.1.100 to any port 22
sudo ufw allow from 192.168.1.0/24 to any port 80

• 解释：第一条命令允许来自192.168.1.100的主机通过SSH（22）访问；第二条命令允许整个192.168.1.0/24子网访问HTTP端口。
• 建议：对于生产环境中的关键服务（如SSH），应尽量限制访问源。

四、查看与管理UFW规则

查看当前UFW规则列表可以使用以下命令：

sudo ufw status verbose

该命令将显示所有规则及其编号，便于后续删除或修改。例如，若要删除第5条规则：

sudo ufw delete 5

• 注意：规则编号是动态变化的，删除某条规则后，后续规则编号会自动调整。
• 推荐做法：每次删除规则前使用ufw status numbered查看编号。

五、配置持久化与日志记录

UFW的规则在系统重启后仍然有效，因为规则保存在/etc/ufw/目录下。但如果你手动修改了规则文件，建议执行以下命令保存：

sudo ufw reload

启用日志记录有助于排查问题：

sudo ufw logging on

• 日志路径：日志通常位于/var/log/ufw.log。
• 调试建议：当规则未生效时，可先检查日志文件，查看是否有被拒绝的连接尝试。

六、进阶配置：组合规则与服务名称

UFW支持组合多个条件进行规则定义，例如同时限制IP和端口：

sudo ufw allow from 192.168.2.0/24 to any port 3000 proto tcp

也可以使用服务名称来定义规则：

sudo ufw allow from 10.0.0.0/8 to any apparmor

• 提示：服务名称需在/etc/services中定义。
• 适用场景：适用于大型系统中统一管理多个服务的端口策略。

七、常见问题与排查流程

graph TD A[开始] --> B{UFW是否启用?} B -- 否 --> C[执行 sudo ufw enable] B -- 是 --> D{规则是否配置正确?} D -- 否 --> E[使用 sudo ufw allow 添加规则] D -- 是 --> F{是否允许来源IP?} F -- 否 --> G[添加来源IP限制] F -- 是 --> H[检查日志 /var/log/ufw.log] H --> I{日志是否有拒绝记录?} I -- 是 --> J[调整规则或白名单] I -- 否 --> K[确认应用层监听端口] K --> L[结束]