步骤/目录：
1.ufw简介
2.树莓派安装ufw并初始设置

本文首发于个人博客https://lisper517.top/index.php/archives/7/，转载请注明出处。
本文实验日期为2022年2月2日。使用树莓派4B（内存8G版），系统为Pi OS 32位桌面版（2022年1月28日更新，镜像名 2022-01-28-raspios-bullseye-armhf.img ）。

1.ufw简介

ufw是一个防火墙软件，可以方便地管理开放的端口或连接的ip。实际上是为了简化iptables操作而衍生来的。

ufw命令简介（ufw help可查看所有命令）：

ufw enable #或disable

开启ufw防火墙 #或关闭（注意，如果是远程ssh连接服务器，在开启ufw服务前一定确保ssh使用的端口开放，保证ssh连接。默认为22号端口）

ufw allow 22 #或delete allow 22

增加规则：开放22端口 #或删除该规则

ufw default deny

设置端口默认状态为关闭

ufw delete allow from 192.168.0.10

删除规则：允许ip为192.168.0.10的访问

ufw allow from 192.168.1.0/24 to any port 22

允许 192.168.1.* 来源的ip访问22端口。ufw中指定ip范围比较复杂，这里的24是网段掩码，参考 这个问题 。

ufw status

查看所有ufw规则

2.树莓派安装ufw并初始设置

使用PuTTY连接至树莓派后，进行如下操作：

apt update
apt install ufw
ufw allow 22
ufw default deny
ufw enable

这样就用ufw将22端口打开，其他端口默认关闭，并且打开了ufw防火墙。
之后使用ufw status查看所有规则，用ufw delete xxx来删除规则。下载其他软件后有其他端口需要开放，就ufw allow 端口号。另外，service ufw status可以查看ufw服务状态。

最后需要说明，如果树莓派使用了frp穿透，那么即使ufw禁用了被穿透的树莓派本地端口，还是可以从公网访问该端口（局域网则内不行），因为frp修改使得对被穿透端口的操作都发生在本地。所以ufw对使用frp等内网穿透工具的树莓派安全提升可能不大。使用docker将容器（如nginx容器）端口映射到宿主机也是同理。