ufw是一个主机端的iptables类防火墙配置工具，比较容易上手。一般桌面应用使用ufw已经可以满足要求了。

ufw 也有 GUI 客户端（例如 gufw），但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令，并研究了它的工作方式。

首先，快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置，使用 grep 来抑制了空行和注释（以 # 开头的行）的显示。

$grep-v'^#\|^$'/etc/default/ufwIPV6=yesDEFAULT_INPUT_POLICY="DROP"DEFAULT_OUTPUT_POLICY="ACCEPT"DEFAULT_FORWARD_POLICY="DROP"DEFAULT_APPLICATION_POLICY="SKIP"MANAGE_BUILTINS=noIPT_SYSCTL=/etc/ufw/sysctl.confIPT_MODULES="nf_conntrack_ftpnf_nat_ftpnf_conntrack_netbios_ns"

正如你所看到的，默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。 ufw 命令的基本语法如下所示，但是这个概要并不意味着你只需要输入 ufw 就行，而是一个告诉你需要哪些参数的快速提示。

ufw[--dry-run][options][rulesyntax]

–dry-run 选项意味着 ufw 不会运行你指定的命令，但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集，因此你要做有好多行输出的准备。

要检查 ufw 的状态，请运行以下命令。注意，即使是这个命令也需要使用 sudo 或 root 账户。

$sudoufwstatusStatus:activeToActionFrom------------22ALLOW192.168.0.0/249090ALLOWAnywhere9090(v6)ALLOWAnywhere(v6)

否则，你会看到以下内容：

$ufwstatusERROR:Youneedtoberoottorunthisscript

加上 verbose 选项会提供一些其它细节：

$sudoufwstatusverboseStatus:activeLogging:on(low)Default:deny(incoming),allow(outgoing),disabled(routed)Newprofiles:skipToActionFrom------------22ALLOWIN192.168.0.0/249090ALLOWINAnywhere9090(v6)ALLOWINAnywhere(v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接：

$sudoufwallow80

你可以查看 /etc/services 文件来找到端口号和服务名称之间的联系。

$grep80//etc/serviceshttp80/tcpwww#WorldWideWebHTTPsocks1080/tcp#socksproxyserversocks1080/udphttp-alt8080/tcpwebcache#WWWcachingservicehttp-alt8080/udpamanda10080/tcp#amandabackupservicesamanda10080/udpcanna5680/tcp#cannaserver

或者，你可以命令中直接使用服务的名称。

$sudoufwallowhttpRuleaddedRuleadded(v6)$sudoufwallowhttpsRuleaddedRuleadded(v6)

进行更改后，你应该再次检查状态来查看是否生效：

$sudoufwstatusStatus:activeToActionFrom------------22ALLOW192.168.0.0/249090ALLOWAnywhere80/tcpALLOWAnywhere

ufw 遵循的规则存储在 /etc/ufw 目录中。注意，你需要 root 用户访问权限才能查看这些文件，每个文件都包含大量规则。

$ls-ltr/etc/ufwtotal48-rw-r--r--1rootroot1391Aug152017sysctl.conf-rw-r-----1rootroot1004Aug172017after.rules-rw-r-----1rootroot915Aug172017after6.rules-rw-r-----1rootroot1130Jan52018before.init-rw-r-----1rootroot1126Jan52018after.init-rw-r-----1rootroot2537Mar252019before.rules-rw-r-----1rootroot6700Mar252019before6.rulesdrwxr-xr-x3rootroot4096Nov1208:21applications.d-rw-r--r--1rootroot313Mar1817:30ufw.conf-rw-r-----1rootroot1711Mar1910:42user.rules-rw-r-----1rootroot1530Mar1910:42user6.rules

本文前面所作的更改，为 http 访问添加了端口 80 和为 https 访问添加了端口 443，在 user.rules 和 user6.rules 文件中看起来像这样：

#grep"80"user*.rulesuser6.rules:###tuple###allowtcp80::/0any::/0inuser6.rules:-Aufw6-user-input-ptcp--dport80-jACCEPTuser.rules:###tuple###allowtcp800.0.0.0/0any0.0.0.0/0inuser.rules:-Aufw-user-input-ptcp--dport80-jACCEPTYouhavenewmailin/var/mail/root#grep443user*.rulesuser6.rules:###tuple###allowtcp443::/0any::/0inuser6.rules:-Aufw6-user-input-ptcp--dport443-jACCEPTuser.rules:###tuple###allowtcp4430.0.0.0/0any0.0.0.0/0inuser.rules:-Aufw-user-input-ptcp--dport443-jACCEPT

使用 ufw，你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接：

$sudoufwdenyfrom208.176.0.50Ruleadded

status 命令将显示更改：

$sudoufwstatusverboseStatus:activeLogging:on(low)Default:deny(incoming),allow(outgoing),disabled(routed)Newprofiles:skipToActionFrom------------22ALLOWIN192.168.0.0/249090ALLOWINAnywhere80/tcpALLOWINAnywhere443/tcpALLOWINAnywhereAnywhereDENYIN208.176.0.50