Ubuntu Nginx防火墻設置指南(基于UFW)
1. 安裝并啟用UFW
UFW(Uncomplicated Firewall)是Ubuntu默認的防火墻管理工具���,簡單易用����。首先安裝UFW:
sudo apt update
sudo apt install ufw
安裝完成后啟用UFW:
sudo ufw enable
啟用后會提示“Command may disrupt existing ssh sessions”���,輸入y確認�,確保防火墻啟動�。
2. 允許Nginx必要端口
Nginx默認使用80端口(HTTP)和443端口(HTTPS)����,需開放這兩個端口���。推薦使用以下命令快速開放:
sudo ufw allow 'Nginx Full'
該命令會同時允許80/TCP和443/TCP端口��。若需單獨開放����,可執行:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
3. 限制SSH訪問(增強安全性)
SSH默認使用22端口�,為防止未經授權的遠程訪問�����,建議僅允許可信IP地址訪問:
sudo ufw allow from <你的IP地址> to any port 22
例如����,若你的IP是192.168.1.100����,則命令為:
sudo ufw allow from 192.168.1.100 to any port 22
若需臨時允許所有IP訪問(不推薦)����,可使用:
sudo ufw allow 22/tcp
4. 查看與管理防火墻規則
- 查看當前規則:確認規則是否生效�����,使用以下命令:
sudo ufw status
輸出會顯示允許的端口及來源(如80/tcp ALLOW Anywhere)����。
- 查看詳細規則(帶編號):若需刪除或修改規則���,使用:
sudo ufw status numbered
會顯示規則列表及編號(如[1] 80/tcp ALLOW Anywhere)�����。
- 刪除規則:若需移除某條規則��,例如刪除第1條規則���,使用:
sudo ufw delete 1
5. 測試與驗證
- 驗證防火墻狀態:確保UFW處于
active狀態(sudo ufw status顯示Status: active)����。
- 驗證端口開放:通過外部設備(如手機或電腦)訪問服務器IP的80端口(
http://<服務器IP>)��,若能看到Nginx歡迎頁面��,說明端口開放正常��。
- 驗證SSH訪問:從允許的IP地址嘗試SSH登錄(
ssh <用戶名>@<服務器IP>)���,確認能正常連接����;從其他IP嘗試�����,應被拒絕�。
注意事項
- 若使用HTTPS(443端口)����,需確保證書已正確配置(如Let’s Encrypt證書)��,否則瀏覽器會提示不安全��。
- 定期檢查UFW規則�����,刪除不必要的端口(如測試后不再使用的臨時端口)��,減少安全風險�。
- 若UFW未生效����,可檢查是否與其他防火墻工具(如iptables)沖突�����,建議優先使用UFW管理防火墻�。
