在網路系統中，防火牆通常是非常重要的安全措施。Debian 系統中，我們經常使用 UFW（Uncomplicated Firewall）這個防火牆軟體。

在進入內文之前，請確保你的系統已經安裝了 UFW。如果尚未安裝，可以運行以下指令進行安裝：

$ sudo apt install ufw

另外，請務必注意，在設置防火牆規則時，可能會導致 SSH 連線中斷。因此，建議只在能夠實體存取系統的情況下進行設定，或確定你有其他可用的方式可以進入系統，以防自己被鎖在外面。

Service

UFW 本身也是一個 service，它必須在背景執行，以便攔截和檢查每個封包，確認是否符合規則。您可以使用 systemctl 命令啟用它：

$ sudo systemctl enable ufw
$ sudo ufw enable

設定

UFW 不需要寫設定檔，而是直接使用 ufw 指令來設定。例如：

• ufw allow ssh
  • 允許 ssh 的流量進入
• ufw deny 22
  • 拒絕 (drop) ssh 的流量
• ufw reject 22
  • 拒絕 (reject) ssh 的流量
  • drop 跟 reject 的差別在於 drop 會直接把封包丟掉，而 reject 會告訴發封包的人你被拒絕了
• ufw allow from 10.1.1.0/24 to any port 22
  • 從 10.1.1.0/24 網段來 (from 10.1.1.0/24)、到任何目的地 (to any)、是 ssh (port 22) 的流量可以過
• ufw allow proto udp from 1.2.3.5 port 5469 to 1.2.3.4 port 5469
  • 用 UDP (proto udp)、從 1.2.3.5 這個 IP address 的 5469 port 來、到 1.2.3.4 的 5469 port 的流量可以過
• ufw allow in on eth0 to any port 80 proto tcp
  • 針對進來的流量 (in)，通過 eht0 這個介面、到任何地方、是到 80 port、使用 TCP 的流量可以過

每次設定更改後，都需要運行 ufw reload 來重新載入規則。你可以使用 ufw status 檢查規則是否正確。如果不確定自己的規則是否正確，可以運行 ufw reset 來重置防火牆規則。

結語

防火牆是保護網路系統安全的關鍵工具之一。透過使用 UFW，我們可以輕鬆地設置和管理防火牆規則，以確保只有符合規則的流量可以進入和離開您的系統。請謹慎設定防火牆，以確保不會將自己鎖在系統外部，同時保護系統免受潛在的安全威脅。

Ref.

• UFW Essentials: Common Firewall Rules and Commands | DigitalOcean
• Ubuntu Manpage: ufw - program for managing a netfilter firewall