麒麟系统 UFW 操作文档

1. UFW 介绍

ufw（简单防火墙 Uncomplicated FireWall）真正地简化了 iptables，虽然 ufw 的底层依然会调用 iptables，但是配置防火墙规则时操作更加方便，命令更加简洁，本文档主要介绍 ufw 在银河麒麟系统中的常见操作。

2. 安装 ufw 服务

在银河麒麟系统中可以使用命令"dpkg -l |grep ufw"检查系统中是否安装了 ufw 软件包。看到软装包状态是"ii"状态则代表已经安装，在银河麒麟系统中默认已经安装了 ufw 服务，如果遇到没有安装 ufw 服务的情况可以配置光盘源进行安装，安装命令为："apt-get install ufw"。

3. 启用 ufw 服务

启用 ufw 有特定的命令，直接执行"ufw enable"即可启用，执行"ufw disable"禁用。在使用 ufw 前必须确保已经启用 ufw,否则配置的规则将无法通过 ufw 命令进行查看。

4. 修改默认规则

在 iptables 中默认规则是指 filter 表中的 INPUT、OUTPUT、FORWARD 三条链的规则，使用 ufw 服务可以设置 iptables 中 INPUT、OUTPUT、FORWARD 三条链的默认规则，当启用 ufw 后自动设置 INPUT、OUTPUT 默认规则为 DROP 状态，FORWARD 为 ACCEPT 状态。启用 ufw 后通过 iptables 可以查看默认规则：

当然也可以通过命令修改默认规则： "ufw default allow"设置默认规则为 ACCEPT 全部放行状态。 "ufw default deny"设置默认规则为 DROP 丢弃状态，当执行完此条命令后。防火墙在系统启动时自动开启，关闭所有外部对本机的访问，但本机访问外部正常。

5. 开启或禁用端口与协议（服务）

开启或禁用协议的方法："ufw allow|deny [service]"

开启 snmp 协议："ufw allow snmp"

开启 ssh 协议："ufw allow 22/tcp"或"ufw allow ssh"

开启 3306 端口：禁用 tcp 和 udp 的 80 端口：

禁用 nfs 协议：

注：可以开启或禁用的服务列表可执行命令："cat /etc/services"进行查看。

6. 特定规则配置

允许特定源 IP 访问： "ufw allow from 192.168.253.155"

限制访问特定目的 IP： "ufw deny to 192.168.253.158"

同时限定源 IP 和目的 IP:"ufw allow from 192.168.0.100 to 192.168.0.200"

指定出入口过滤，用户可以使用 in 或 out 来指定向内还是向外。如果未指定，默认是 in。允许 htpp 协议进入："ufw allow in http" 拒绝发出 snmp 协议报文："ufw reject out smtp" 阻止向 192.168.1.1 发送消息："ufw deny out to 192.168.1.1"