使用 UFW 配置防火墙：允许特定 IP 范围访问的完整指南-连界优站

内容目录

在网络安全日益重要的今天，配置一个有效的防火墙对于保护服务器免受未经授权的访问至关重要。Ubuntu Firewall (UFW) 是一个用户友好的前端工具，它简化了 Linux 内核防火墙的功能。本文将教你如何使用 UFW 允许特定 IP 范围的访问，确保你的服务器既安全又高效。

UFW（Uncomplicated Firewall）是 Ubuntu 和其他基于 Debian 的系统上默认提供的防火墙管理工具。它旨在使防火墙规则的设置变得简单而直观，即使是对那些不太熟悉 iptables 命令行工具的用户来说也是如此。

大多数现代 Ubuntu 发行版已经预装了 UFW。你可以通过以下命令检查：

sudo ufw status

如果显示 “inactive” 或者提示找不到命令，则需要手动安装：

sudo apt-get update
sudo apt-get install ufw

首次启用 UFW 时，默认会阻止所有入站流量。为了防止自己被锁定在外，请先添加 SSH 访问规则（如果你通过 SSH 连接到服务器的话）：

sudo ufw allow ssh

然后启用防火墙：

sudo ufw enable

此时，你应该收到一条确认信息，表示 UFW 已成功启动。

假设你想允许来自 192.168.1.100 的所有入站连接，可以执行如下命令：

sudo ufw allow from 192.168.1.100

如果你想要允许来自整个子网（如 192.168.1.0/24）的流量，可以使用 CIDR 表示法：

sudo ufw allow from 192.168.1.0/24

这将允许从 192.168.1.0 到 192.168.1.255 的所有 IP 地址访问服务器。

有时你可能只想允许某些类型的流量（例如 HTTP 或 HTTPS）。在这种情况下，可以在规则中指定端口号或服务名称：

sudo ufw allow from 192.168.1.0/24 to any port 80 proto tcp
sudo ufw allow from 192.168.1.0/24 to any port 443 proto tcp

这些命令分别允许来自该 IP 范围的 HTTP 和 HTTPS 请求。

如果需要移除某个规则，首先列出当前的所有规则编号：

sudo ufw status numbered

然后根据编号删除不需要的规则：

sudo ufw delete <rule_number>

Q: 启用了 UFW 之后突然无法通过 SSH 登录到服务器。
A: 可能是因为忘记添加 SSH 访问规则导致的。
解决方案：
- 在启用 UFW 之前，确保已经允许了 SSH 连接（如前所述）。
- 如果已经被锁在外面，可以通过 VPS 提供商提供的控制台或 KVM 功能临时禁用 UFW。

Q: 添加新规则后发现仍然不能访问指定的服务。
A: 可能是由于规则顺序不当或其他更高优先级的规则覆盖了它。
解决方案：
- 使用 sudo ufw status verbose 查看详细的规则列表，确认规则是否正确加载。
- 尝试调整规则顺序，确保高优先级规则位于顶部。

Q: 想要知道 UFW 是否拦截了某些流量以及具体的日志信息。
A: 默认情况下，UFW 不会记录日志，但你可以轻松开启此功能。
解决方案：
- 编辑 /etc/default/ufw 文件，将 LOGLEVEL 设置为 low 或更高。
- 重启 UFW 服务并检查 /var/log/ufw.log 文件获取详细日志。