Debian防火墙UFW 基本安装与配置

Shao #ufw #VPS #debian

前言

UFW(Uncomplicated Firewall)是 Linux 下基于 iptables / nftables 的简化防火墙管理工具,为不熟悉防火墙概念的用户提供了简单、直观的管理方式。UFW 同时支持 IPv4 与 IPv6,非常适合 VPS、云服务器及日常运维环境使用。

一、查看 UFW 状态

Bash

ufw status verbose

常见输出说明:

  • Status: inactive:UFW 已安装,但未启用

  • Status: active:UFW 已启用并生效

二、安装 UFW

1️⃣ 更新系统(推荐)

Bash

apt update && apt upgrade -y

2️⃣ 安装 UFW

Bash

apt install ufw -y

安装完成后,UFW 默认不会自动启用

Bash

ufw status

三、设置默认防火墙策略(重要)

Bash

ufw default deny incoming
ufw default allow outgoing

含义说明:

  • 拒绝所有进入服务器的连接

  • 允许服务器主动访问外部网络

这是服务器最常见、也是最安全的默认策略。

四、配置访问规则

⚠️ 注意: 一定要先添加允许规则,再启用 UFW,避免 SSH 断连。

1️⃣ 放行 SSH 及业务端口

根据您的服务器情况放行对应端口:

isif

ufw allow 80/tcp
ufw allow 443/tcp

CCS

ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 32400/tcp

DMIT TYO.AS3.Pro.TINY

ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 45771/tcp

RFCHost JP2-CO-Micro

ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 45771/tcp
ufw allow 45678/tcp
ufw allow 48179/tcp
ufw allow 47522/tcp
ufw allow 49123/tcp

BWG MEGABOX-PRO

ufw allow 80/tcp
ufw allow 81/tcp
ufw allow 443/tcp
ufw allow 45678/tcp
ufw allow 47522/tcp

DMIT LAX.Pro.MALIBU

ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 45666/tcp
ufw allow 47522/tcp

AT&T

ufw allow 11011/tcp

绿云6666 IIJ

ufw allow 45661/tcp
ufw allow 45771/tcp

绿云1212 IIJ

ufw allow 45661/tcp
ufw allow 45771/tcp

2️⃣ 配置 IP 白名单(允许指定 IP 访问服务器所有端口)

以下为您的常用白名单 IP(允许访问所有端口 / 所有协议):

Bash

# 姑姑云
ufw allow from 45.204.209.136
# 搬瓦工
ufw allow from 144.34.238.210
# Cloudcone
ufw allow from 142.171.108.7
# FN.CCS
ufw allow from 23.94.229.58
# Wap.tw
ufw allow from 140.235.38.26
# RackNerd
ufw allow from 74.48.183.175
# DMIT
ufw allow from 154.17.29.192
# VMISS
ufw allow from 154.36.156.97
# 补充IP
ufw allow from 216.238.52.98
# BageVM
ufw allow from 167.253.96.71
# 绿云6666
ufw allow from 62.106.70.62
# 绿云12.12
ufw allow from 172.93.218.86
# Aliyun
ufw allow from 47.108.141.169
# 绿云1212
ufw allow from 193.111.30.137
# RFChost
ufw allow from 161.129.35.46

3️⃣ 放行本机回环地址(推荐)

用于保障本机服务、反向代理、Docker 容器通信正常。

Bash

ufw allow from 127.0.0.1
ufw allow from ::1

4️⃣ 放行 Tailscale 流量(重要)

如果使用了 Tailscale 组网,必须放行相关流量以保证内网互通和直连。

允许 Tailscale 虚拟网卡的所有流量:

Bash

ufw allow in on tailscale0

允许 Tailscale 的 UDP 协议端口(优化 P2P 直连速度,避免走中继):

Bash

ufw allow 41641/udp

五、启用 UFW

Bash

ufw enable

系统会提示:

Command may disrupt existing ssh connections. Proceed with operation (y|n)?

确认 SSH 端口或 IP 白名单已放行后,输入:y

六、验证配置是否生效

Bash

ufw status verbose

示例输出:

Plaintext

Status: active
Default: deny (incoming), allow (outgoing)
Anywhere                   ALLOW IN    45.204.209.136
Anywhere                   ALLOW IN    154.36.156.97
Anywhere                   ALLOW IN    127.0.0.1
Anywhere on tailscale0     ALLOW IN    Anywhere
41641/udp                  ALLOW IN    Anywhere

七、关于 ufw reset 的说明(重要)

Bash

ufw reset

作用是:

  1. 清空 所有防火墙规则

  2. 恢复到初始状态

⚠️ 注意事项

  • reset 会删除所有 allow / deny 规则

  • 执行后需要 重新配置规则并再次 enable

  • 不建议在生产环境频繁使用

八、常用命令速查

Bash

ufw status numbered  # 查看规则编号
ufw delete <编号>     # 删除指定规则(例如 ufw delete 3)
ufw disable          # 临时关闭防火墙
ufw enable           # 启用防火墙
ufw reload           # 重载配置文件

九、总结

  1. UFW 适合 VPS / 云服务器 / Debian 系统

  2. 推荐策略:默认拒绝 + 白名单放行

  3. 启用前务必确认 SSH 端口来源 IP

  4. Tailscale 用户 需记得放行 tailscale0 接口和 UDP 端口

  5. IPv4 / IPv6 需同时注意,避免绕过

评论