md5.pw - 用户贡献 [zh]

搬瓦工VPS基本防火墙规则及入站/出站策略

2026-03-18T04:30:25Z

Long：搬瓦工VPS基本防火墙规则及入站/出站策略

当你的 VPS 刚刚安装好操作系统并连上网络时，它就像是一个四面漏风的房间。互联网上的任何一台机器，都可以尝试连接你服务器上的所有端口。每天都有无数的自动化扫描脚本在网络上游荡，寻找那些没有关好门的服务器进行暴力破解或恶意入侵。

在下面的文章中，我们将抛开复杂的网络理论，手把手教你建立一套基于'''“默认拒绝（Default Deny）”'''原则的基础防火墙策略。我们将使用 Ubuntu 和 Debian 系统中最简单好用的 UFW（Uncomplicated Firewall）工具来进行实战。
----
== 一、什么是“默认拒绝”与出入站策略？ ==
在动手敲命令之前，我们需要先理清防火墙的两个基本方向：入站（Inbound/Incming）和出站（Outbound/Outgoing）。

* '''入站（Incoming）：''' 外界的电脑主动发起请求，想要进入你的服务器。比如，你在浏览器里输入服务器的 IP 来访问你的面板，这就是入站流量。
* '''出站（Outgoing）：''' 你的服务器主动发起请求，想要访问外界的网络。比如，你在服务器里使用 <code>wget</code> 下载一个安装包，或者 Docker 自动去拉取一个镜像，这就是出站流量。

'''防火墙的最高黄金准则就是：默认拒绝所有入站，允许所有出站。'''

意思是：

# 除了我明确批准放行的端口（比如 SSH 登录端口、特定的业务端口），其他任何外部机器想连进来，防火墙一律直接丢弃请求，连报错都不回。
# 服务器内部的软件想要访问外网下载东西，完全自由，防火墙不加阻拦。

这种策略能把服务器的暴露面降到最低，把复杂性降到最低。

----

== 二、安装 UFW ==
在 Ubuntu 和 Debian 系统中，底层真正的防火墙叫 <code>iptables</code> 或 <code>nftables</code>，但它们的语法极其复杂，反人类。因此，我们使用 UFW（Uncomplicated Firewall，简单防火墙）。它是一个前端工具，能把复杂的规则转化为人类能看懂的简单英语命令。

'''1. 安装 UFW'''

通过 SSH 连上你的服务器，执行以下命令安装 UFW：
apt update
apt '''install''' ufw -y</code>
[[File:B87c11cc.png|center|thumb|1000x1000px]]

'''2. 查看当前状态'''

安装完成后，UFW 默认是关闭的。你可以查一下它的状态：
'''ufw status'''
终端会输出：<code>Status: inactive</code>（状态：不活跃）。先不要急着开启它，我们必须先设定好规则。
[[File:B87c11c1.png|center|thumb|1000x1000px]]

----

== 三、配置默认策略与SSH端口 ==
接下来我们就正式开始设置。这一步非常关键，顺序绝对不能错。错了的话，可能会导致你与服务器之间的连接直接被切断。

'''1. 设置全局默认策略'''

告诉防火墙，以后遇到没有明确规定的流量，默认按照下面的规则办：
# 默认拒绝所有入站连接
ufw default deny incoming

# 默认允许所有出站连接
ufw default allow outgoing</code>
[[File:B87c11c2.png|center|thumb|1000x1000px]]
'''2. 极度重要：放行你的 SSH 端口'''

既然你设置了“默认拒绝所有入站”，如果你现在立刻把防火墙开启，防火墙会连你当前的 SSH 连接一起切断。你就会把自己彻底锁在服务器外面。

因此，在开启防火墙之前，'''必须先放行 SSH 端口'''。

如果你使用的是默认的 22 端口，执行：
ufw allow 22/tcp</code>
[[File:B87c11c3.png|center|thumb|1000x1000px]]
如果你已经将 SSH 端口改成了其他数字（比如 38422），那就放行你的自定义端口：

ufw allow 38422/tcp</code>

'''3. 正式启动防火墙'''

确认 SSH 端口已经放行后，输入以下命令激活防火墙：
ufw enable</code>
系统会弹出一句警告：<code>Command may disrupt existing ssh connections. Proceed with operation (y|n)?</code>（此命令可能会中断现有的 SSH 连接，是否继续？）。因为我们上一步已经放行了端口，所以大胆输入 <code>y</code> 并回车。
[[File:B87c11c4.png|center|thumb|1000x1000px]]

提示 <code>Firewall is active and enabled on system startup</code>，说明防火墙已成功启动，并且每次服务器重启都会自动运行。

----

== 四、纯 IP + 端口的精准放行策略 ==
在我们的日常部署中，为了追求极致的简单、高效和稳定，我们往往不需要去搞复杂的反向代理（不再需要把所有流量都挤到 80 和 443 端口）。

最原生的方式就是：'''跑一个服务，分配一个端口，防火墙放行一个端口，直接用 IP+端口访问。这种架构故障点最少'''。

== 1. 常见业务的放行规则 ==
假设你在服务器上用 Docker 部署了一个博客，你把它映射到了宿主机的 <code>8090</code> 端口。你只需要告诉防火墙，允许外界访问这个端口即可。
'''ufw''' allow 8090/tcp</code>
执行完毕后，你就可以直接在浏览器里通过 <code><nowiki>http://你的服务器IP:8090</nowiki></code> 来访问面板了。

再比如，你部署了nginx proxy manager，映射在 81 端口：
'''ufw''' allow 81/tcp</code>
[[File:B87c11c5.png|center|thumb|1000x1000px]]

== 2. TCP 与 UDP 的区别 ==
在放行端口时，你可能会注意到后面带着 <code>/tcp</code>。网络传输主要有两种协议：TCP（稳定、面向连接，网页浏览多用此协议）和 UDP（速度快、不保证送达，视频流、游戏多用此协议）。

* 绝大多数的 Web 面板、数据库，都只需要放行 TCP。
* 如果你不写协议，直接输入 <code>ufw allow 3001</code>，UFW 会默认同时放行 TCP 和 UDP。为了安全起见，我们建议只放行需要的协议（加上 <code>/tcp</code>）。

== 3. 如何知道自己需要放行哪些端口？ ==
很多新手跟着教程复制了 Docker 部署命令，启动成功了，但网页打不开，也不知道该去防火墙放行哪个端口。

你可以使用 <code>ss</code> 命令来查看服务器当前到底有哪些端口正在监听（等待外部连接）：
'''ss -tulnp'''</code>
这个命令会列出所有正在运行的程序以及它们占用的端口。找到你的程序名称（比如 docker-proxy），看看它对应的 <code>Local Address:Port</code> 是多少，然后在 UFW 里把那个端口放行即可。（因为是新机器，没有运行其他服务，所以只有SSH的22端口正在监听）
[[File:B87c11c656.png|center|thumb|1000x1000px]]

----

== 五、查看、删除与进阶规则 ==
防火墙规则不是一成不变的。当你卸载了某个面板，对应的端口也应该及时关闭，做到“用完即焚”。

== 1. 查看带编号的规则列表 ==
想要管理规则，最好的方法是给每条规则打上编号，这样看得很清楚：
'''ufw status numbered'''</code>
终端会输出类似这样的列表：
'''To''' Action '''From'''
-- ------ ----
[ 1] 38422/tcp ALLOW IN Anywhere
[ 2] 3001/tcp ALLOW IN Anywhere
[ 3] 38422/tcp (v6) ALLOW IN Anywhere (v6)
[ 4] 3001/tcp (v6) ALLOW IN Anywhere (v6)</code>
你会发现，你输入一条规则，UFW 会自动帮你生成 IPv4 和 IPv6（带有 v6 字样）两条规则，非常省心。

== 2. 精准删除规则 ==
如果你不再使用 Uptime Kuma 了，想要关闭 3001 端口。只需要根据上面列表的编号进行删除。

我们要删除第 2 条规则：
ufw '''delete''' 2</code>
输入 <code>y</code> 确认。

'''注意：''' 删除了第 2 条之后，原本的第 3 条、第 4 条规则的编号会自动向前递补。所以如果你要继续删除，请一定要重新运行 <code>ufw status numbered</code> 查看最新的编号，不要盲目删除，以免误删了 SSH 端口规则。

== 3. 进阶技能：防暴力破解的 Limit 规则 ==
你的 SSH 端口虽然改了，但如果真的被黑客扫到了，对方一直用密码字典疯狂尝试登录，会消耗服务器大量的 CPU 资源。

UFW 提供了一个非常简单的限流功能。你可以把之前放行 SSH 的 <code>allow</code> 规则，改为 <code>limit</code> 规则。

假设你的 SSH 端口是 38422：
ufw limit 38422/tcp</code>
<code>limit</code> 规则的意思是：允许正常连接，但如果同一个 IP 地址在 30 秒内尝试连接超过 6 次，防火墙就会直接把这个 IP 拉黑一段时间。这对于防范自动化的暴力破解脚本极其有效。

----

== 六、常见问题：为什么 UFW 放行了端口，我还是连不上？ ==
这是新手最容易碰到的难题。你在系统里执行了 <code>ufw allow 3001/tcp</code>，显示操作成功，但网页就是死活打不开。

如果你遇到了这种情况，原因几乎只有一个：'''你的服务器外面，还有一层防火墙'''。

现在很多云服务商为了安全，会在网页控制台里提供一个 '''“安全组（Security Group）”''' 或 '''“外部防火墙”''' 功能。这层外部防火墙位于你的 VPS 操作系统之外。外部的请求想要到达你的服务器，必须先经过服务商的安全组，然后才能到达你系统内部的 UFW。<blockquote>注意：搬瓦工给予用户极高的自由度，故没有设置安全组。所以不会出现这一问题。但这里还是提出来，毕竟技多不压身。下次如果你遇到这类问题你就知道要去哪里查看并解决。</blockquote>排查逻辑：

# 确认系统内部的 UFW 已经放行了该端口。
# 登录你购买 VPS 的服务商网页后台，找到“网络安全”、“防火墙”或“安全组”设置卡片。
# 在网页后台同样添加一条入站规则，放行对应的 TCP 端口。

只有当“外部安全组”和“内部 UFW”都对该端口亮了绿灯，你的流量才能真正通行无阻。
----
掌握了以上基于 UFW 的默认拒绝与纯 IP+端口放行策略，你的服务器在互联网中就已经具备了极强的自保能力。你不需要去配置复杂的拦截策略，只要守住“不认识的端口坚决不开”这条底线，就能屏蔽掉 99% 的无差别攻击。

File:B87c11c656.png

2026-03-18T04:28:10Z

Long：

B87c11c656

File:B87c11c5.png

2026-03-18T04:27:47Z

Long：

B87c11c5

File:B87c11c4.png

2026-03-18T04:27:21Z

Long：

B87c11c4

File:B87c11c3.png

2026-03-18T04:26:54Z

Long：

B87c11c3

File:B87c11c2.png

2026-03-18T04:26:14Z

Long：

File:B87c11c1.png

2026-03-18T04:25:50Z

Long：

B87c11c1

File:B87c11cc.png

2026-03-18T04:24:47Z

Long：

如何在搬瓦工VPS搭建Uptime Kuma服务器状态监控

2026-01-31T06:45:41Z

Long：如何部署服务器状态监控—— uptime kuma

Uptime Kuma 是一款开源、高颜值的自托管监控工具。它界面美观，功能强大，支持 HTTP(s) / TCP / Ping / DNS 等多种监控方式。

下面将演示如何在一台全新的搬瓦工 Linux 服务器上，使用 Docker 快速部署一套属于自己的监控系统。

== 一、环境准备 ==

在开始之前，请确保你已经准备好了以下内容：

* '''服务器'''：一台安装了 Linux 系统的 VPS（推荐 Debian 10+ 或 Ubuntu 20.04+）。
* '''工具'''：SSH 客户端（本文使用windows 11 自带的 PowerShell 进行演示，命令是通用的，你也可以选择其他SSH客户端）。

----

== 二、服务器初始化与更新 ==

首先，使用 SSH 连接到你的服务器。为了保证软件的兼容性和安全性，我们先对系统软件包进行更新。

以下命令适用于 Debian 和 Ubuntu 系统：

<syntaxhighlight lang="bash">
# 切换到 root 用户（如果当前不是 root，建议执行此步）
sudo -i

# 更新软件包列表并升级已安装的软件
apt update -y && apt upgrade -y

# 安装必要的常用工具（curl, wget, nano编辑器, git）
apt install curl wget nano git -y
</syntaxhighlight>
[[File:0ff5fe52.png|center|thumb|600x600px]]
----

== 三、安装 Docker 环境 ==

我们将使用 Docker 官方的安装脚本，这是最快、最标准的安装方式。

=== 1. 一键安装 Docker ===

执行以下命令，系统会自动识别架构并安装最新版的 Docker 引擎：

<syntaxhighlight lang="bash">
curl -fsSL https://get.docker.com | bash
</syntaxhighlight>
[[File:7cd2.png|center|thumb|600x600px]]

=== 2. 启动 Docker 并设置开机自启 ===

安装完成后，执行以下命令启动 Docker 服务并设置为开机自自动运行：

<syntaxhighlight lang="bash">
systemctl enable --now docker
</syntaxhighlight>

=== 3. 安装 Docker Compose ===

为了运行后续的配置文件，我们需要安装 Docker Compose 独立工具。

<syntaxhighlight lang="bash"># 下载 Docker Compose 二进制文件
curl -L "https://github.com/docker/compose/releases/latest/download/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

# 赋予可执行权限
chmod +x /usr/local/bin/docker-compose

# 验证安装是否成功（出现版本号即为成功）
docker-compose --version</syntaxhighlight>
[[File:354.png|center|thumb|600x600px]]
----

== 四、部署 Uptime Kuma ==

环境配置好后，我们开始正式部署 Uptime Kuma。

=== 1. 创建项目目录 ===

为了方便管理，我们将所有文件放在专门的目录中：

<syntaxhighlight lang="bash">
# 创建目录
mkdir -p /root/data/docker_data/uptime-kuma

# 进入目录
cd /root/data/docker_data/uptime-kuma
</syntaxhighlight>
[[File:D90.png|center|thumb|600x600px]]

=== 2. 创建配置文件 ===

使用 <code>nano</code> 编辑器创建并编辑 <code>docker-compose.yml</code> 文件：

<syntaxhighlight lang="bash">
nano docker-compose.yml
</syntaxhighlight>

将以下代码块完整复制并粘贴到编辑器中：

<syntaxhighlight lang="yaml">
version: '3.3'

services:
uptime-kuma:
image: louislam/uptime-kuma
container_name: uptime-kuma
volumes:
- ./uptime-kuma-data:/app/data
ports:
- 3001:3001
restart: always
</syntaxhighlight>

'''操作提示：'''

# 粘贴完成后，按 <code>Ctrl + O</code> 保存文件。
# 按 <code>Enter</code> 确认文件名。
# 按 <code>Ctrl + X</code> 退出编辑器。
[[File:D3ca340.png|center|thumb|600x600px]]

=== 3. 启动容器 ===

在当前目录下执行以下命令启动服务：

<syntaxhighlight lang="bash">
docker compose up -d
</syntaxhighlight>

等待几秒钟，当看到 <code>Creating uptime-kuma ... done</code> 字样时，说明部署成功。
[[File:77ef4b7.png|center|thumb|600x600px]]

----

== 五、放行防火墙端口（重要） ==

由于我们直接通过 IP + 端口访问，必须确保服务器的防火墙放行了 '''3001''' 端口。（这里已VPS安装了ufw防火墙为例）

<syntaxhighlight lang="bash">
ufw allow 3001/tcp
ufw reload
</syntaxhighlight>

----

== 六、访问与设置 ==

=== 1. 初始化设置 ===

打开浏览器，在地址栏输入：

<code>http://你的服务器IP:3001</code>

例如：<code>http://192.168.1.100:3001</code>

* 第一次访问会要求创建管理员账号。
* 语言选择“中文”，设置好用户名和密码，点击 '''创建'''。
[[File:94d4d.png|center|thumb|600x600px]]

=== 2. 开始使用 ===

进入仪表盘后，点击左上角的 '''“添加监控项”''' 即可开始监控。

你可以用来监控：

* '''网站状态'''（HTTP/HTTPS）：监控网站是否可以正常访问。
* '''服务器存活'''（Ping）：监控服务器是否在线。
* '''端口状态'''（TCP Port）：监控特定的服务端口（如 SSH 的 22 端口）是否通畅。
[[File:011a6.png|center|thumb|600x600px]]
至此，一个属于你自己的服务器监控面板就搭建完成了！
[[File:A5e4.png|center|thumb|600x600px]]
[[File:124gdf.png|center|thumb|600x600px]]

== 七、最后 ==
如果后面有想过通过域名进行访问，可以看同站里的 '''NPM''' 安装教学'''。'''
[[Category:500 常见应用指南 — Application Guides]]

File:124gdf.png

2026-01-31T06:42:44Z

Long：

File:A5e4.png

2026-01-31T06:25:43Z

Long：

File:011a6.png

2026-01-31T06:25:22Z

Long：

File:94d4d.png

2026-01-31T06:24:10Z

Long：

File:77ef4b7.png

2026-01-31T06:22:56Z

Long：

File:D3ca340.png

2026-01-31T06:22:11Z

Long：

File:D90.png

2026-01-31T06:21:44Z

Long：

File:034b9.png

2026-01-31T06:21:12Z

Long：

File:354.png

2026-01-31T06:19:37Z

Long：

File:7cd2.png

2026-01-31T06:18:06Z

Long：

File:0ff5fe52.png

2026-01-31T06:17:00Z

Long：