需求：本机局域网Ubuntu虚拟机作为服务器，配置了几个服务。需要通过外部访问，但又想限制这台服务器访问局域网内其他任何设备，防止网络攻击。

没有硬件防火墙，目前没有更好的思路，通过ufw防火墙简单实现，允许开放本机 22，80，3000端口，允许本机访问网关192.168.99.254，禁止本机访问其他192.168.x.x内网其他IP，需要开放更多端口直接执行sudo ufw allow 添加，注意端口类型。

# 安装，重置设置
sudo apt update
sudo apt install -y ufw
sudo ufw --force reset

sudo ufw default deny incoming
sudo ufw default allow outgoing

# 入站开放端口（按需加）
sudo ufw allow 22/tcp 
sudo ufw allow 80/tcp
sudo ufw allow 3000/tcp

# 例外：允许访问 192.168.99.254（网关/DNS/DHCP）
sudo ufw allow out to 192.168.99.254

# 禁止访问所有 192.168.x.x（整个 192.168.0.0/16）
sudo ufw deny out to 192.168.0.0/16

sudo ufw --force enable
sudo ufw status numbered