VPS 的防火墙问题：有比 iptables 简单好用的防火墙吗？

ufw

@imsuwj ufw 跟 FirewallD 相比哪个更简单？？以后会慢慢转向 RH 系

用 linux 烦的地方明明有正统的 iptables ，非要造出 ufw firewalld 出来， ufw 看起来能以自然语言理解，没见到特别的优势，而 firewalld 看起来有点像 openwrt 以 zone 定义的防火墙规则。

当年学习 linux 时也没有把 iptables 掌握，反而是在用第三方 linux 路由时，学习 ddwrt 因为各种网络管理，路由性能优化掌握了 iptables ，如果你想学习 iptables ，回头看来它确实不是很复杂，只是自己平时循序渐进罢了。至于 ufw 跟 firewalld 不清楚有些什么系统有这些命令，这两个东西看起来简单吗，一点也不会比 iptables 简单。不清楚 ufw 跟 firewalld 最终是否仍然解释为 iptables 命令，如果这样不如好好掌握 iptables ，在各个 linux 系统都可以使用，关键不需要通过另外一套语法来做各种转换。如果你学习过 routeros 的防火墙规则，你就非常郁闷明明有这么好的 linux 系统，还要出个 routeros 干嘛，自创的语法还只能部分解释 iptables 规则，一些高效的的 conntrack restore 结构压根就不支持。

这种语法一点都不复杂 stateful firewall
*filter
:INPUT DROP [0:0]
-A INPUT -p icmp --icmp-type 8 -m limit --limit 10/sec -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i vpns+ -j ACCEPT
-A INPUT -i tap_soft -j ACCEPT
-A INPUT -p 41 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,1194,1701,4500,8000 -j ACCEPT
-A INPUT -j LOG --log-prefix "INPUT_DROP_" --log-level 4

以后有机会接触别人的防火墙，用 iptables -S 看看人家的规则跟自己的有什么差别，然后 google 就可以了，有心掌握 iptables 的话，随着自己对规则的掌握也是非常快的，至于 ufw firewalld 真的不知道有什么意义。

你需要的不是比 iptables 简单的其他防火墙,而是需要一个管理 iptables 的用户界面,这种就很多了,谷歌一下,我自己用的是 appnode