不用宝塔，小白用linux怎么管理防火墙?

大家好，我是路由成精。在日常管理服务器的过程中，安全永远是第一位的。今天就来分享用 UFW（Uncomplicated Firewall）管理防火墙的几个实用操作。

演示服务器依旧是 Vultr，系统为 Debian 12。

💡 分享前需要注意的两个小细节

大小写敏感：Linux 是一个严格区分大小写的系统，记得所有命令都用小写字母输入，以免报错。
权限说明：以下分享全部是在 root 权限下进行的，请以你的实际操作为准。
- 如果你用 root 权限，命令前面不需要加 sudo。
- 如果你用 admin 权限，就需要加 sudo。
- 如果你想把权限从 admin 切换成 root，你需要输入 sudo -i。
- 如果你从 root 切换成 admin，你需要输入 exit 返回 admin 权限。

一、 UFW 的安装

1-1. 安装前先更新一下系统：

1	`apt update`

1-2. 安装 UFW：

1	`apt install ufw -y`

二、查看 VPS 的端口状况

首先让我们看看一个新 VPS 的端口状况。

1-1. 端口查看（带编号）：

1	`ufw status numbered`

三、端口的放行和关闭

1-1. 假如放行 55555 的 tcp 协议端口：

1	`ufw allow 55555/tcp`

1-2. 假如放行 55555 的 udp 协议端口：

1	`ufw allow 55555/udp`

1-3. 假如你想关闭 55555 的 udp 端口：
你需要使用上一条命令先查看端口编号：

1	`ufw status numbered`

找到对应端口的编号后，删除对应端口规则（假设你查到的编号是 3）：

1	`ufw delete 3`

四、允许特定 IP 访问特定端口

建立专属白名单

比如你修改了 SSH 端口，但仍觉得暴露在公网不安全。你可以设置只允许你家里的宽带 IP 访问该端口，其他所有人连扫描都扫不到：

1	`ufw allow from 192.168.1.1 to any port 52000`

(注意：请将 192.168.1.1 替换为你真实的公网 IP)

进阶：批量放行 CloudFlare IP 段

让我来一个更复杂的，同时你思考一下，如果让你在宝塔添加这样一条命令，是不是很麻烦？而且容易出错？

比方说你想套用了 CloudFlare 的 CDN，你只允许 CF 的 IPV4 的 IP 段访问你的 443 端口，你可以这样写（直接在终端一键运行即可）：

for ip in 173.245.48.0/20 103.21.244.0/22 103.22.200.0/22 103.31.4.0/22 141.101.64.0/18 108.162.192.0/18 190.93.240.0/20 188.114.96.0/20 197.234.240.0/22 198.41.128.0/17 162.158.0.0/15 104.16.0.0/13 104.24.0.0/14 172.64.0.0/13 131.0.72.0/22; do sudo ufw allow from $ip to any port 443 proto tcp; done

五、总结