整理自:
http://hi.baidu.com/zj8la8la/blog/item/06930263953184d4e7113a04.html

Ubuntu自带的防火墙还是很容易设置的。


1.安装(默认Ubuntu Server/Desktop 11.10已经安装,但没有启用。)
$ sudo apt-get install ufw

2.启用(默认设置是’disable’)
$ sudo ufw enable

3.设置默认策略
$ sudo ufw default allow|deny

一般用户可以:
$ sudo ufw enable
$ sudo ufw default deny
运行以上两条命令后:开启了防火墙,系统启动时自动开启,关闭所有外部对本机的访问,但本机访问外部正常。
这样已经足够安全了,如果你需要开放某些服务,再使用sudo ufw allow xxx 开启。

4.切换日志记录选项
$ sudo ufw logging on|off

5.显示防火墙和端口的侦听状态
$ sudo ufw status
devadm@devserver:~$ sudo ufw status
Status: active
To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
139/tcp                    ALLOW       Anywhere
445/tcp                    ALLOW       Anywhere
22/tcp                     ALLOW       Anywhere (v6)
139/tcp                    ALLOW       Anywhere (v6)
445/tcp                    ALLOW       Anywhere (v6)
devadm@devserver:~$

6.
许可/屏蔽某些入站的包(或服务),基本语法如下:
$ sudo ufw allow|deny [服务]

$ sudo ufw allow|deny [端口/协议]

$ sudo ufw allow smtp    允许所有的外部IP访问本机的smtp服务(tcp端口25)
$ sudo ufw allow 22/tcp  允许所有的外部IP访问本机的tcp端口22(ssh服务)
$ sudo ufw allow 53      允许外部访问tcp/udp端口53(DNS服务)
$ sudo ufw deny smtp     禁止外部访问smtp服务
$ sudo ufw deny 80/tcp   禁止外部访问tcp80端口(www服务)
$ sudo ufw delete allow smtp        删除 allow smtp 的规则
$ sudo ufw allow from 192.168.1.100 允许此IP访问所有的本机端口
$ sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53 【待考证】