巡检宿主机网络暴露面时,发现 UFW 虽然已经启用,默认策略也是 deny (incoming),但规则里仍保留了一批当前并无对应服务监听的入站放行项。
当时对外真正需要保留的关键入口只有:
22/tcp:SSH80/tcp:HTTP443/tcp:HTTPS其余历史放行项继续保留只会增加误暴露风险。
先核对宿主机监听端口与 UFW 当前规则,确认实际外部可用服务与防火墙放行项是否一致。
核对结论:
22/tcp、80/tcp、443/tcp20/tcp、21/tcp、888/tcp、8888/tcp、16021/tcp、36153/tcp、39000:40000/tcp实际删除了以下规则(IPv4 与 IPv6 对应规则一并删除):
20/tcp
21/tcp
888/tcp
8888/tcp
16021/tcp
36153/tcp
39000:40000/tcp
执行方式为逐条:
ufw delete allow 20/tcp
ufw delete allow 21/tcp
ufw delete allow 888/tcp
ufw delete allow 8888/tcp
ufw delete allow 16021/tcp
ufw delete allow 36153/tcp
ufw delete allow 39000:40000/tcp
清理完成后,UFW 当前保留的入站放行规则只剩:
22/tcp
80/tcp
443/tcp
22/tcp (v6)
80/tcp (v6)
443/tcp (v6)
这表示当前宿主机的公开入口已经收敛到:
使用:
ufw status numbered
确认当前规则中只剩 22/80/443。
再次对照监听情况后,当前保留规则与实际需要对外开放的入口一致。
80/443 + 反向代理 暴露,而不是直接开放高位端口