Paano I-configure ang UFW sa Linux Server - (Gabay sa Bawat Hakbang 2026)

Para i-configure ang UFW sa isang Linux server, i-install ang UFW, itakda ang mga default na patakaran (tanggihan ang papasok, payagan ang papalabas), payagan SSH, pagkatapos ay paganahin ang firewall. Magdagdag ng mga panuntunan sa serbisyo (hal., HTTP/HTTPS), i-verify gamit ang ufw status at mga external scan, at ayusin ang mga advanced na opsyon tulad ng paglilimita sa rate at IPv6 kung kinakailangan. Ipinapakita sa iyo ng sunud-sunod na gabay na ito para sa 2026 kung paano.

Kung gusto mo ng simple at ligtas na paraan para protektahan ang iyong server, pag-aaral kung paano i-configure ang UFW sa isang Linux server ay isang matalinong unang hakbang. Ang UFW (Uncomplicated Firewall) ay isang user-friendly na interface para sa iptables/nftables na nagbibigay-daan sa iyong mabilis na tukuyin ang mga allow/deny rule nang walang kumplikadong syntax—mainam para sa Ubuntu, Debian, at maraming cloud image.

Sa gabay na ito na madaling gamitin ng eksperto para sa mga baguhan, tatalakayin ko ang pag-install, ligtas na pag-activate (para hindi ka ma-lock out), mga karaniwang tuntunin sa serbisyo, advanced hardening, mga backup, automation, at pag-troubleshoot—kasama ang mga totoong tip mula sa malawakang pamamahala ng mga production server.

Ano ang UFW at Bakit Ito Ginagamit?

Ang UFW (Uncomplicated Firewall) ay isang command-line firewall manager para sa Linux na nagpapadali sa iptables/nftables. Ito ang default sa Ubuntu at malawak na magagamit sa Debian at iba pang mga distro. Ginagawang madali ng UFW ang pagbubukas ng mga port, paghigpitan ang mga IP, paglalapat ng rate limiting, at manage IPv6 gamit ang mga utos na nababasa ng tao.

Pangunahing pokus ng keyword: i-configure ang UFW sa Linux server. Mga pangalawang keyword na natural na ginagamit: UFW firewall, Ubuntu firewall, Debian firewall, ufw allow port, iptables vs UFW.

Mga Kinakailangan at Checklist sa Kaligtasan

Bago ka magsimula

SSH pag-access gamit ang mga pribilehiyo ng sudo
Console/serial access sa pamamagitan ng iyong cloud provider kung sakaling magkaroon ng lockout
OS ng Server: Ubuntu 20.04/22.04/24.04 LTS, Debian 11/12, o tugma
Kumpirmahin kung IPv6 ay pinagana sa iyong host/network
Alamin ang iyong mga kritikal na serbisyo at daungan (hal., SSH 22, HTTP 80, HTTPS 443)

Suriin ang Kasalukuyang Katayuan ng Firewall

sudo ufw status verbose
sudo iptables -S
sudo nft list ruleset 2>/dev/null

Sa modernong Ubuntu/Debian, madalas na ginagamit ang UFW managemga nftable sa ilalim ng hood. Huwag paghaluin ang maraming firewall nang sabay-sabay maliban kung alam mo ang iyong ginagawa.

I-install at Paganahin ang UFW (Nang Hindi Nilo-lock ang Iyong Sarili)

1) I-install ang UFW

sudo apt update
sudo apt install ufw

2) Itakda ang Mga Default na Patakaran

Tinutukoy ng mga default na patakaran kung ano ang mangyayari kapag walang tugmang tahasang panuntunan.

sudo ufw default deny incoming
sudo ufw default allow outgoing

3) Payagan SSH Bago Paganahin

Palaging payagan SSH una para maiwasan ang pagka-lock out. Kung ang iyong SSH tumatakbo sa isang custom port, palitan ang 22 sa port na iyon.

sudo ufw allow 22/tcp
# Example for a custom port
# sudo ufw allow 2222/tcp

4) Paganahin ang UFW at I-verify

sudo ufw enable
sudo ufw status numbered
sudo ufw status verbose

Awtomatikong magpapatuloy ang UFW sa mga pag-reboot kapag na-enable na.

Mga Mahahalagang Utos at Konsepto ng UFW

Payagan o Tanggihan ang mga Port at Serbisyo

# Allow common web services
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Deny a specific port explicitly
sudo ufw deny 25/tcp

Maraming distro ang may kasamang mga profile ng aplikasyon ng UFW para sa mabilisang mga panuntunan.

sudo ufw app list
sudo ufw allow "Nginx Full"    # usually allows 80 and 443
sudo ufw allow "OpenSSH"

Burahin o I-reset ang Mga Panuntunan

# List with numbers
sudo ufw status numbered

# Delete by number
sudo ufw delete 3

# Reset to defaults (removes all rules)
sudo ufw reset

Paganahin ang Pag-log (para sa Pag-awdit)

sudo ufw logging on
sudo ufw logging medium   # low|medium|high
# Logs: /var/log/ufw.log or journalctl -u ufw

I-configure ang Mga Karaniwang Serbisyo (Mga Halimbawa sa Totoong Mundo)

Web Server (HTTP/HTTPS)

# Generic:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Profile-based (if available):
sudo ufw allow "Nginx Full"
# or
sudo ufw allow "Apache Full"

DNS, Koreo, at FTP

# DNS server (UDP 53, TCP 53)
sudo ufw allow 53
# SMTP (25), Submission (587), SMTPS (465), IMAPS (993), POP3S (995)
sudo ufw allow 25/tcp
sudo ufw allow 587/tcp
sudo ufw allow 465/tcp
sudo ufw allow 993/tcp
sudo ufw allow 995/tcp
# FTP (21) and passive range example
sudo ufw allow 21/tcp
sudo ufw allow 40000:50000/tcp

Limitahan ang Pag-access sa mga Partikular na IP/Subnet

Limitahan lamang ang mga sensitibong serbisyo (hal., mga database, mga admin panel) sa mga pinagkakatiwalaang IP.

# Allow MySQL only from an office IP
sudo ufw allow from 203.0.113.10 to any port 3306 proto tcp

# Allow Postgres from a private subnet
sudo ufw allow from 10.0.0.0/24 to any port 5432 proto tcp

Mga Panuntunan sa Bawat Interface (Mga Multi-NIC Host)

# Allow service only on a specific interface
sudo ufw allow in on eth1 to any port 9200 proto tcp

Mga Saklaw at Protokol ng Daungan

# Port range
sudo ufw allow 2000:2100/tcp

# UDP example (VoIP, gaming, etc.)
sudo ufw allow 3478/udp

Advanced Hardening

Mga Pagtatangkang Brute-Force na may Limitasyon sa Rate

Ang mga throttle na naglilimita sa bilis ay pumipigil sa paulit-ulit na pagtatangka ng koneksyon. Ito ay mainam para sa SSH at mga API, ngunit hindi ito kapalit ng malakas na auth.

sudo ufw limit 22/tcp comment 'Rate-limit SSH'
# For a custom API port:
sudo ufw limit 8443/tcp

Paganahin at I-verify IPv6

Kung ang iyong server ay may IPv6, siguraduhin ang UFW managesige; kung hindi ay aalis ka IPv6 bukas nang bukas.

# Check /etc/ufw/ufw.conf
sudo sed -n '1,120p' /etc/ufw/ufw.conf | sed -n '/^#/!p' | sed -n '1,10p'
# Set: IPV6=yes
# Then reload:
sudo ufw disable && sudo ufw enable
sudo ufw status verbose

Mga Pagsasaalang-alang sa Docker

Direktang minamanipula ng Docker ang mga iptable at maaaring laktawan ang mga patakaran ng UFW bilang default. Mas mainam na i-publish lamang ang mga kinakailangang port at isaalang-alang ang mga network na tinukoy ng user ng Docker. Kung kailangan mo ng mas mahigpit na kontrol, galugarin ang mga patakaran ng DOCKER-USER chain o magpatakbo ng reverse proxy sa host at buksan lamang ang port na iyon sa UFW.

Mga Panuntunan sa Palabas (Paglabas)

Ang default na outbound ay allow. Para sa mga naka-lock na kapaligiran, i-deny bilang default at payagan ang mga partikular na destinasyon/port.

# Restrictive egress model
sudo ufw default deny outgoing
sudo ufw allow out 53    # DNS
sudo ufw allow out 80/tcp  # HTTP
sudo ufw allow out 443/tcp # HTTPS
# Allow outbound to a repository mirror only
sudo ufw allow out to 198.51.100.20 port 443 proto tcp

I-back Up, Ibalik, at I-automate

Mga Panuntunan sa Pag-backup at Pag-restore ng UFW

# Export active rules
sudo ufw status numbered > ufw.rules.txt
sudo cp -a /etc/ufw/ /root/backup-ufw-$(date +%F)

# Restore (method: reapply commands or restore config dir)
# After restoring /etc/ufw/, reload:
sudo ufw disable && sudo ufw enable

I-reset at Muling Buuin nang Ligtas

# Will remove existing rules; be sure you have console access
sudo ufw reset
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp
sudo ufw enable

I-automate gamit ang Cloud-Init o Ansible

Para sa pagkakapare-pareho sa iba't ibang fleet, i-code ang UFW sa mga provisioning script (cloud-init) o Ansible roles. Mag-pre-bake ng mga imahe na may mga naka-lock na default at mga least-privilege rule. Kung nagho-host ka gamit ang YouStable, Ang aming manageMaaaring magbigay ang d server team ng mga pinatigas na imahe gamit ang UFW, fail2ban, at DDoS filtering na iniayon sa iyong stack.

Pagsusuri at Pag-troubleshoot

Pagsubok mula sa isang Malayuang Kliyente

# From your workstation
nc -vz your.server.ip 22
nc -vz your.server.ip 80
# or use nmap
nmap -Pn -p 22,80,443 your.server.ip
# HTTP check
curl -I http://your.server.ip

Basahin ang mga Log at System Journal

sudo tail -f /var/log/ufw.log
sudo journalctl -u ufw -n 200 --no-pager

Karaniwang Pagkakamali

Nakakalimutang payagan SSH bago paganahin ang UFW
Pag-iwan IPv6 unmanaged habang IPv6 ay aktibo
Pagpapahintulot sa mga serbisyo sa maling interface o IP
Mga salungatan sa mga cloud security group o mga host-based firewall
Mga port na inilathala ng Docker na lumalampas sa inaasahang patakaran

Plano ng Pagbabalik

# Temporarily disable if you lock yourself out (via console)
sudo ufw disable
# Or remove a bad rule by number
sudo ufw status numbered
sudo ufw delete <number>

UFW vs. iptables/nftables (Mga Kalamangan at Kahinaan)

Mga Kalamangan ng UFW: Simpleng syntax, mas ligtas na mga default, IPv6 suporta, mga profile para sa mga karaniwang app, mabilis na pag-awdit.
Mga Kahinaan ng UFW: Hindi gaanong detalyado kaysa sa mga hilaw na nftables/iptables para sa kumplikadong NAT/forwarding; Ang mga interaksyon sa Docker ay nangangailangan ng pangangalaga.
Tip: Gamitin ang UFW para sa mga host firewall; isaalang-alang lamang ang mga raw nftables/iptables para sa mga kumplikadong networking, router, o mga advanced na container.

Pinakamahuhusay na Kasanayan at Mga Tip sa Totoong Mundo

Tukuyin muna ang iyong nilalayong exposure: buksan lamang ang talagang kailangan ng application.
I-pin ang mga serbisyo ng admin sa mga IP ng opisina o mga subnet ng VPN; huwag kailanman ilantad sa publiko ang mga database.
Paganahin IPv6 managepag-iisip at salaminin ang iyong IPv4 mga tuntunin sa IPv6.
Gamitin ang limitasyon ng ufw para sa SSH at mga API endpoint upang mapabagal ang mga pagtatangka ng brute-force.
Regular na suriin ang katayuan at mga log ng ufw; isama sa pagsubaybay/mga alerto.
Idokumento ang iyong ruleset at i-automate ito gamit ang config management.
Kung gumagamit ng Docker, mas mainam ang reverse proxy (Nginx/Traefik) at bukas lamang sa 80/443 sa host.
Makipag-ugnayan sa UFW sa mga cloud security group upang maiwasan ang kalituhan.

Mga Madalas Itanong: I-configure ang UFW sa Linux Server

Mas mahusay ba ang UFW kaysa sa iptables o nftables?

Hindi "mas mabuti" ang UFW kundi mas madali. Ito ay isang front-end na nagbubuod ng mga iptables/nftables sa mga simpleng command. Para sa karamihan ng mga host, sapat at mas ligtas ang UFW. Para sa kumplikadong routing, NAT, o mga container network, maaaring mas mainam ang mga raw nftables/iptables.

Paano ko papayagan ang aking IP lamang na maka-access sa isang port?

Gumamit ng source restriction. Halimbawa: sudo ufw allow mula 203.0.113.10 patungo sa anumang port 5432 proto tcp. Palitan ang IP at port ng sarili mong mga value. Ito ay mainam para sa mga admin panel at database.

Paano ko mairereset ang UFW sa mga default ng pabrika?

Patakbuhin ang sudo ufw reset, pagkatapos ay muling ilapat ang mga default at kinakailangang mga panuntunan: sudo ufw default deny incoming, sudo ufw default allow outgoing, sudo ufw allow 22/tcp, at sudo ufw enable. Gamitin ang access sa console upang maiwasan ang mga lockout.

Gumagana ba ang UFW sa Docker?

Oo, pero Docker manageDirektang mga panuntunan ng iptables. Maaaring malampasan ng mga nailathalang container port ang mga inaasahang panuntunan ng host. Limitahan ang mga nailathalang port, gumamit ng mga reverse proxy, at, kung kinakailangan, ipatupad ang mga patakaran sa pamamagitan ng DOCKER-USER chain o mga nakalaang panuntunan ng firewall.

Paano ko susuriin kung IPv6 ay protektado ng UFW?

Buksan ang /etc/ufw/ufw.conf at tiyaking IPV6=yes. Pagkatapos, sudo ufw disable at sudo ufw enable. I-verify gamit ang sudo ufw status verbose. I-mirror ang iyong IPv4 mga tuntunin sa IPv6 kung gumagamit ang iyong server IPv6 addresses.

Ibahagi sa pamamagitan ng:

Talaan ng nilalaman

Paano I-configure ang UFW sa Linux Server – (Gabay sa Bawat Hakbang 2026)