使用UFW配置防火墙，允许特定IP范围的访问 🚀

在服务器安全管理中，UFW（Uncomplicated Firewall） 是Ubuntu系统上的一款简单易用的防火墙工具。通过配置UFW，我们可以精确控制网络访问权限，允许或禁止特定的IP地址或IP范围。本文将详细介绍如何使用UFW配置防火墙，以允许特定IP范围的访问。😊

一、UFW简介 📖

UFW是Ubuntu默认的防火墙管理工具，旨在简化iptables的使用。它提供了友好的命令行接口，使用户能够轻松地管理防火墙规则。

二、安装和启用UFW 🛠️

1. 安装UFW

通常情况下，UFW已经预装在Ubuntu中。如果未安装，可以使用以下命令进行安装：

sudo apt-get install ufw

解释：

• sudo：以管理员权限执行命令。
• apt-get install ufw：使用 apt-get包管理器安装UFW。

2. 启用UFW

在配置防火墙规则之前，需要确保UFW已启用：

sudo ufw enable

解释：

• *ufw enable：启用UFW防火墙。

注意：启用后，默认情况下UFW会阻止所有入站连接，允许所有出站连接。

三、配置默认策略 ⚙️

为了安全起见，我们可以设置默认的策略：

sudo ufw default deny incoming
sudo ufw default allow outgoing

解释：

• default deny incoming：默认拒绝所有入站流量。
• default allow outgoing：默认允许所有出站流量。

四、允许特定IP范围的访问 🌐

1. 允许单个IP地址访问特定端口

假设我们希望允许IP地址 192.168.1.100访问服务器的 22端口（SSH）：

sudo ufw allow from 192.168.1.100 to any port 22

解释：

• allow from 192.168.1.100：允许来自 192.168.1.100的流量。
• to any port 22：目标为任意地址的 22端口。

2. 允许特定IP范围访问特定端口

如果需要允许一个IP段，例如 192.168.1.0/24（表示 192.168.1.0到 192.168.1.255）访问 80端口（HTTP）：

sudo ufw allow from 192.168.1.0/24 to any port 80

解释：

• 192.168.1.0/24：表示一个子网范围，即 192.168.1.0到 192.168.1.255。
• port 80：指定目标端口为 80。

3. 允许特定IP范围访问所有端口

如果希望允许某个IP范围访问所有端口：

sudo ufw allow from 10.0.0.0/16

解释：

• 10.0.0.0/16：表示 10.0.0.0到 10.0.255.255的IP范围。
• allow from：允许来自该IP范围的所有流量。

4. 允许特定IP范围访问特定服务

假设需要允许某个IP范围访问 SSH服务，可以使用服务名称代替端口号：

sudo ufw allow from 203.0.113.0/24 to any port ssh

解释：

• *port ssh：ssh服务的默认端口 22。

五、查看和管理UFW规则 🔍

1. 查看当前的防火墙状态和规则

sudo ufw status verbose

解释：

• status verbose：以详细模式显示UFW的状态和所有规则。

2. 删除规则

如果需要删除一条规则，可以使用规则编号：

sudo ufw status numbered

输出示例：

[ 1] Allow 22/tcp                   ALLOW IN    Anywhere
[ 2] Allow from 192.168.1.0/24      ALLOW IN    Anywhere

删除第2条规则：

sudo ufw delete 2

解释：

• status numbered：以编号方式显示规则，便于管理。
• delete 2：删除编号为2的规则。

六、UFW工作流程图 🖥️

flowchart TD
A[启动UFW] --> B[设置默认策略]
B --> C[添加允许的IP范围规则]
C --> D[启用防火墙]
D --> E[查看防火墙状态]

解释：

1. 启动UFW：确保UFW已安装并启用。
2. 设置默认策略：通常设置为拒绝所有入站，允许所有出站。
3. 添加允许的IP范围规则：根据需求添加特定IP或IP范围的访问权限。
4. 启用防火墙：应用配置，使规则生效。
5. 查看防火墙状态：验证配置是否正确。

七、实战示例 🌟

假设我们有以下需求：

• 默认拒绝所有入站连接。
• 允许本地网络 192.168.1.0/24访问 SSH和 HTTP服务。
• 允许公网IP 203.0.113.5访问 HTTPS服务。

配置步骤

1. 设置默认策略：

   sudo ufw default deny incoming
   sudo ufw default allow outgoing

2. 允许本地网络访问 SSH和 HTTP：

   sudo ufw allow from 192.168.1.0/24 to any port 22
   sudo ufw allow from 192.168.1.0/24 to any port 80

3. 允许公网IP访问 HTTPS：

   sudo ufw allow from 203.0.113.5 to any port 443

4. 启用UFW：

   sudo ufw enable

5. 查看防火墙状态：

   sudo ufw status verbose

八、重要提示 ⚠️

• 规则顺序很重要：UFW按规则添加的顺序进行匹配，先添加的规则优先级更高。
• 小心锁定自己：在配置远程服务器防火墙时，务必确保自己的IP在允许列表中，避免被锁定在外。
• 定期备份配置：可以将规则导出，以便在需要时恢复。

九、总结 🏁

通过本文的介绍，我们学习了如何使用UFW配置防火墙，允许特定IP范围的访问。合理的防火墙配置能够有效提升服务器的安全性，防止未经授权的访问。希望本文对您有所帮助！🚀