关于防火墙的规则

防火墙入站规则：别人电脑访问本身电脑的规则；

防火墙出站规则：本身电脑访问别人电脑的规则。

简单的说 出站就是你访问外网 入站就是外网访问你 用户能够建立入站和出站规则，从而阻挡或者容许特定程序或者端口进行链接; 可使用预先设置的规则，也能够建立自定义规则，“新建规则向导”能够帮用户逐步完成建立规则的步骤；用户能够将规则应用于一组程序、端口或者服务，也可 以将规则应用于全部程序或者某个特定程序；能够阻挡某个软件进行全部链接、容许全部链接，或者只容许安全链接，并要求使用加密来保护经过该链接发送的数据 的安全性; 能够为入站和出站流量配置源IP地址及目的地IP地址，一样还能够为源TCP和UDP端口及目的地TCP和UPD端口配置

如下是关于ubuntu的规则配置

sudo ufw status(若是你是root，则去掉sudo，ufw status)可检查防火墙的状态，个人返回的是：inactive(默认为不活动)。
sudo ufw version防火墙版本： 
ufw 0.29-4ubuntu1 
Copyright 2008-2009 Canonical Ltd.
ubuntu 系统默认已安装ufw.

1.安装

sudo apt-get install ufw

2.启用

sudo ufw enable
sudo ufw default deny
运行以上两条命令后，开启了防火墙，并在系统启动时自动开启。关闭全部外部对本机的访问，但本机访问外部正常。

3.开启/禁用

sudo ufw allow|deny [service]
打开或关闭某个端口，例如：
sudo ufw allow smtp　容许全部的外部IP访问本机的25/tcp (smtp)端口
sudo ufw allow 22/tcp 容许全部的外部IP访问本机的22/tcp (ssh)端口
这个很重要，ssh远程登陆用于SecureCRT等软件建议开启。或者不要开防火墙。
sudo ufw allow 53 容许外部访问53端口(tcp/udp)
sudo ufw allow from 192.168.1.100 容许此IP访问全部的本机端口
sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53
sudo ufw deny smtp 禁止外部访问smtp服务
sudo ufw delete allow smtp 删除上面创建的某条规则

4.查看防火墙状态

sudo ufw status
通常用户，只需以下设置：
sudo apt-get install ufw
sudo ufw enable
sudo ufw default deny
以上三条命令已经足够安全了，若是你须要开放某些服务，再使用sudo ufw allow开启。
开启/关闭防火墙 (默认设置是’disable’)
sudo ufw enable|disable
转换日志状态
sudo ufw logging on|off
设置默认策略 (好比 “mostly open” vs “mostly closed”)
sudo ufw default allow|deny
许 可或者屏蔽端口 (能够在“status” 中查看到服务列表)。能够用“协议：端口”的方式指定一个存在于/etc/services中的服务名称，也能够经过包的meta-data。 ‘allow’ 参数将把条目加入 /etc/ufw/maps ，而 ‘deny’ 则相反。基本语法以下：
sudo ufw allow|deny [service]
显示防火墙和端口的侦听状态，参见 /var/lib/ufw/maps。括号中的数字将不会被显示出来。
sudo ufw status
UFW 使用范例：
容许 53 端口
$ sudo ufw allow 53
禁用 53 端口
$ sudo ufw delete allow 53
容许 80 端口
$ sudo ufw allow 80/tcp
禁用 80 端口
$ sudo ufw delete allow 80/tcp
容许 smtp 端口
$ sudo ufw allow smtp
删除 smtp 端口的许可
$ sudo ufw delete allow smtp
容许某特定 IP
$ sudo ufw allow from 192.168.254.254
删除上面的规则
$ sudo ufw delete allow from 192.168.254.254
linux 2.4内核之后提供了一个很是优秀的防火墙工具：netfilter/iptables,他免费且功能强大，能够对流入、流出的信息进行细化控制，它能够 实现防火墙、NAT（网络地址翻译）和数据包的分割等功能。netfilter工做在内核内部，而iptables则是让用户定义规则集的表结构。

可是iptables的规则稍微有些“复杂”，所以ubuntu提供了ufw这个设定工具，以简化iptables的某些设定，其后台仍然是 iptables。ufw 即uncomplicated firewall的简称，一些复杂的设定仍是要去iptables。

ufw相关的文件和文件夹有：

/etc /ufw/：里面是一些ufw的环境设定文件，如 before.rules、after.rules、sysctl.conf、ufw.conf，及 for ip6 的 before6.rule 及 after6.rules。这些文件通常按照默认的设置进行就ok。

若开启ufw之 后，/etc/ufw/sysctl.conf会覆盖默认的/etc/sysctl.conf文件，若你原来的/etc/sysctl.conf作了修 改，启动ufw后，若/etc/ufw/sysctl.conf中有新赋值，则会覆盖/etc/sysctl.conf的，不然还以/etc /sysctl.conf为准。固然你能够经过修改/etc/default/ufw中的“IPT_SYSCTL=”条目来设置使用哪一个 sysctrl.conf.

/var/lib/ufw/user.rules 这个文件中是咱们设置的一些防火墙规则，打开大概就能看明白，有时咱们能够直接修改这个文件，不用使用命令来设定。修改后记得ufw reload重启ufw使得新规则生效。

下面是ufw命令行的一些示例：

ufw enable/disable:打开/关闭ufwufw status：查看已经定义的ufw规则ufw default allow/deny:外来访问默认容许/拒绝ufw allow/deny 20：容许/拒绝 访问20端口,20后可跟/tcp或/udp，表示tcp或udp封包。ufw allow/deny servicename:ufw从/etc/services中找到对应service的端口，进行过滤。ufw allow proto tcp from 10.0.1.0/10 to 本机ip port 25:容许自10.0.1.0/10的tcp封包访问本机的25端口。ufw delete allow/deny 20:删除之前定义的"容许/拒绝访问20端口"的规则