如何添加新的防火墙规则？

2025-12-27 21:21

学习记录

497 字

4 分钟

添加 UFW 防火墙规则的操作非常灵活，可根据端口、协议、来源 IP等条件精准配置，以下是常用场景的命令（当前root账号下直接执行，无需sudo）：

ufw status 查看防火前开放端口

ss -tuln 查询哪些程序占用端口

ufw allow 2003 开放TCP+UDP

一、基础场景：按端口 + 协议添加规则

1. 开放单个端口（指定协议）

# 开放 2003 端口的 TCP 协议
ufw allow 2003/tcp

# 开放 2003 端口的 UDP 协议
ufw allow 2003/udp

2. 同时开放单个端口的 TCP+UDP 协议

ufw allow 2003
# 等价于同时执行：ufw allow 2003/tcp + ufw allow 2003/udp

二、进阶场景：按来源 IP 限制访问（更安全）

仅允许特定 IP/IP 段访问端口，避免全网开放（推荐业务端口使用）：

# 仅允许 192.168.1.100 访问 2003 端口的 TCP 协议
ufw allow from 192.168.1.100 to any port 2003 proto tcp

# 仅允许 10.0.0.0/24 网段访问 2003 端口的 UDP 协议
ufw allow from 10.0.0.0/24 to any port 2003 proto udp

三、特殊场景：按服务名 / 端口范围添加规则

1. 按服务名开放（需系统服务名已注册，如`ssh`对应 22 端口）

# 开放 ssh 服务（等价于开放 22/tcp）
ufw allow ssh

2. 开放端口范围（适用于连续端口，如 2000-2010）

# 开放 2000-2010 端口的 TCP 协议
ufw allow 2000:2010/tcp

四、添加规则后的验证

执行以下命令，确认规则已成功添加：

ufw status numbered
# 输出中会显示新增的规则及编号（如 [10] 2003/tcp ALLOW Anywhere）

五、补充：规则的优先级

UFW 规则按添加顺序生效，若存在冲突规则（如先允许所有 IP，再限制特定 IP），先添加的规则优先执行。如需调整优先级，需删除旧规则后重新添加。

安全建议

业务端口尽量按「来源 IP + 端口 + 协议」精准配置，避免全网开放；
添加规则后，务必通过ufw status验证，避免配置错误；
闲置规则及时删除（ufw delete 规则编号），减少攻击面。

若后续需要关闭该端口，可执行：

ufw delete allow 2001/tcp
ufw delete allow 2001/udp

删除多余放行规则（用编号删最方便）

#1. 先看编号
ufw status numbered
#2. 按编号删除，示例删除第1条
ufw delete 1

开放端口防火墙命令

暂无评论

发送评论编辑评论

Markdown

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!

2025 年 12 月
一	二	三	四	五	六	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31