如何在VirtualBox中配置Debian防火墙

在 VirtualBox 中为 Debian 配置防火墙

一 前置准备

• 更新系统并安装必要工具：执行 sudo apt update & & sudo apt full-upgrade，随后安装防火墙前端 sudo apt install ufw；如使用 iptables 方案，建议一并安装持久化组件 sudo apt install iptables-persistent。这些步骤能确保系统处于最新安全补丁状态并具备防火墙管理能力。
• 规划端口与服务：明确需要开放的服务与端口（如 SSH 22/TCP、HTTP 80/TCP、HTTPS 443/TCP），避免开放不必要的端口，遵循最小暴露面原则。

二 使用 UFW 快速配置

• 启用与基础规则：执行 sudo ufw enable 开启防火墙；按需放行端口，例如 sudo ufw allow 22/tcp（SSH）、sudo ufw allow 80/tcp（HTTP）、sudo ufw allow 443/tcp（HTTPS）；使用 sudo ufw status verbose 查看状态与详细规则。
• 进阶用法示例：仅允许指定来源访问 SSH（如内网管理机 192.168.1.100）可执行 sudo ufw allow from 192.168.1.100 to any port 22；需要临时关闭某端口可使用 sudo ufw deny 21/tcp；如需批量开放端口段，可执行 sudo ufw allow 2290:2300/tcp。
• 规则维护：删除单条规则可用 sudo ufw delete allow 22/tcp；重置所有规则可用 sudo ufw reset（谨慎操作，会清空现有策略）。

三 使用 iptables 精细配置

• 基本策略与回环：设置默认策略 sudo iptables -P INPUT DROP、sudo iptables -P FORWARD DROP、sudo iptables -P OUTPUT ACCEPT；放行本地回环 sudo iptables -A INPUT -i lo -j ACCEPT；允许已建立和相关连接 sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT。
• 放行服务端口：按需放行 sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT（SSH）、sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT（HTTP）、sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT（HTTPS）。
• 持久化保存：安装 iptables-persistent 后执行 sudo netfilter-persistent save（或 sudo iptables-save > /etc/iptables/rules.v4）以在重启后自动恢复规则。

四 VirtualBox 网络与连通性检查

• 网络模式选择：在虚拟机设置 → 网络中，适配器可启用并选择 NAT 或 桥接 模式；NAT 便于直接上网，桥接可与宿主机处于同一网段，便于从外部访问。
• 连通性验证：在虚拟机内用 ip addr 或 ifconfig 获取 IP 地址；从宿主机测试连通性（如 ping < 虚拟机IP> ），并通过 ssh < 用户名> @< 虚拟机IP> 验证 SSH 可达性。若连接失败，优先检查虚拟机防火墙是否放行对应端口（如 sudo ufw status 或 sudo iptables -L -n -v）。

五 安全加固建议

• SSH 安全：在 /etc/ssh/sshd_config 中更改默认端口（如 Port 2222）、禁用 root 远程登录（PermitRootLogin no），并使用 SSH 密钥 认证替代口令，显著降低暴力破解风险。
• 持续维护：启用自动安全更新 sudo apt install unattended-upgrades 并配置为仅安装安全更新；定期审计日志（如 logwatch）、监控主机状态（如 Nagios/Zabbix），并实施定期备份与恢复演练，确保在故障或入侵时可快速恢复。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！