Linux 系统下防火墙配置的详细指南

于 2025-03-17 14:19:11 发布
阅读量1.2k 收藏 12
点赞数 23
分类专栏: 运维 Linux 服务器 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45657541/article/details/146314202
版权

以下是 Linux 系统下防火墙配置的详细指南,涵盖 iptablesufwfirewalld 等主流工具的使用方法和实战场景!

Linux 系统下防火墙配置的详细指南

1. 防火墙工具对比

工具适用场景特点
iptables传统 Linux 系统(如 CentOS/RHEL)功能强大,规则灵活,但配置复杂
ufwUbuntu/Debian 等新发行版图形化界面,命令简洁,适合新手
firewalldRHEL/CentOS 8+/Fedora基于服务的动态防火墙,支持 NAT 和端口转发

2. iptables 基础配置

2.1 查看规则

iptables -L -n -v  # 查看所有规则(-n 不解析域名,-v 显示详细信息)

2.2 清空规则

iptables -F  # 清空所有规则
iptables -t nat -F  # 清空 NAT 表

2.3 基础规则示例

# 允许 SSH(端口 22)入站
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许 HTTP/HTTPS(端口 80/443)入站
iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT

# 拒绝其他所有入站流量(默认策略)
iptables -P INPUT DROP

# 保存规则(根据系统选择以下命令)
iptables-save | sudo tee /etc/sysconfig/iptables  # CentOS/RHEL
iptables-save > /etc/iptables/rules.v4          # Ubuntu/Debian

2.4 高级功能

# 设置 NAT 规则(端口转发)
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination :80
iptables -t nat -A POSTROUTING -j MASQUERADE

# 限制 IP 访问频率(每分钟最多 10 次)
iptables -I INPUT -p tcp --dport 22 -m limit --limit 10/min -j ACCEPT

3. ufw(Uncomplicated Firewall)配置

3.1 启用与禁用

sudo ufw enable  # 启用防火墙
sudo ufw disable # 禁用防火墙

3.2 规则配置

# 开放端口(默认策略为拒绝)
sudo ufw allow 22/tcp  # SSH
sudo ufw allow 80,443/tcp  # HTTP/HTTPS

# 拒绝特定 IP(如 192.168.1.100)
sudo ufw deny from 192.168.1.100 to any

# 删除规则
sudo ufw delete allow 22/tcp

# 查看规则
sudo ufw status numbered  # 显示带序号的规则

3.3 高级配置

# 限制 SSH 最大连接数
sudo ufw limit 22/tcp  # 默认:每分钟 60 次,突发 10 次

# 设置默认策略(优先级最低)
sudo ufw default deny incoming  # 入站默认拒绝
sudo ufw default allow outgoing   # 出站默认允许

4. firewalld 配置

4.1 启用与禁用

sudo systemctl start firewalld       # 启动服务
sudo systemctl enable firewalld      # 设置开机自启
sudo systemctl stop firewalld        # 停止服务

4.2 查看与修改规则

# 查看所有活动区域规则
sudo firewall-cmd --list-all

# 添加开放端口(永久生效)
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent

# 临时添加规则(重启后失效)
sudo firewall-cmd --zone=public --add-port=80/tcp

# 删除规则
sudo firewall-cmd --zone=public --remove-port=80/tcp --permanent

4.3 高级功能

# 设置服务(预定义规则集)
sudo firewall-cmd --zone=public --add-service=http --permanent

# 添加富规则(复杂匹配)
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'

# 启用 NAT 和路由
sudo firewall-cmd --zone=public --add-masquerade --permanent

5. 防火墙策略设计原则

  1. 最小化开放端口:仅开放必要服务(如 SSH、HTTP)。
  2. 默认拒绝策略:未明确允许的流量应默认拒绝。
  3. 分层防御:结合内核防火墙(iptables)和 service-level 防火墙(firewalld)。
  4. 日志记录:监控可疑流量(如 --log 选项)。
  5. 定期审计:清理过期规则,更新策略。

6. 实战场景

场景 1:Web 服务器防火墙配置

# 使用 ufw
sudo ufw allow 80,443/tcp
sudo ufw default deny incoming
sudo ufw enable

# 使用 firewalld
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent

场景 2:SSH 安全加固

# 限制 IP 白名单(如允许 192.168.1.0/24 网段)
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

# 使用 fail2ban 防止暴力破解
sudo apt install fail2ban
sudo systemctl start fail2ban

7. 常见问题

  1. 规则未生效:
    • 确保保存了规则(如 iptables-savefirewall-cmd --permanent)。
    • 检查是否有其他防火墙工具冲突(如同时运行 iptablesufw)。

  2. 端口转发失败:
    • 确认 NAT 规则正确(iptables -t nat)。
    • 检查系统转发功能是否启用:sudo sysctl -w net.ipv4.ip_forward=1

  3. 服务无法访问:
    • 确认防火墙区域(如 public)包含目标端口。
    • 检查 SELinux/AppArmor 是否拦截流量(需额外配置)。

附录:工具选择建议

• 新手:优先使用 ufw,命令简单直观。
• 生产环境:使用 firewalld 管理动态服务规则。
• 高级需求:结合 iptables 处理复杂 NAT 和流量限制。

通过合理配置防火墙,可以有效保护服务器安全,同时保持服务的可用性!如果有具体场景(如云服务器安全组配置),欢迎进一步讨论。 🔒

Linux配置防火墙
weixin_48191060的博客
08-04 1556
防火墙Firewalld概述Firewalld和iptables的关系Firewalld网络区域Firewalld防火墙配置方法Firewalld-config图形工具区域介绍 Firewalld概述 Firewalld 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4,IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter 位于Lin
Linux系统iptables防火墙实战指南
qq_24442273的博客
10-21 749
3、如果所有的规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,则继续向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。1、新增规则,使得本机不能ping通其它主机,其它主机可以ping通本机,本机也可以自己ping通自己,命令如下所示:​​​​​​​。2、如果匹配上了相应的规则,即明确表明是阻止还是通过,此时数据包就不再向下匹配新的规则了。1、防火墙是一层层过滤的,就是按照配置规则的顺序从上到下,从前到后进行过滤的。4、防火墙的默认规则是对应链表的所有规则执行完成后,才会执行的规则。
centOS7查看防火墙状态
只为成功找方法 不为失败找借口
05-05 2465
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:s...
Linux系统配置防火墙
cheagoun的博客
05-12 2655
开启Firewall防火墙后,默认情况下,只有本机可以访问本机的容器和应用。
linux设置iptables防火墙
rmoleo的博客
09-19 799
linux 设置iptables 防火墙
linux防火墙(firewalld和iptables)
肥猫警长的博客
11-01 5881
这里写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网段)及端口 及服务3.1.3其它
Linux防火墙配置
FanGer的博客
06-29 1万+
【收藏】CentOS7防火墙默认使用的是firewall,Centos 6.x使用iptables。# 查看防火墙状态 # 停止防火墙 # 启动防火墙 # 重启防火墙 # 永久关闭防火墙 # 永久关闭后重启 2、开启80端口 # 加入如下代码 保存退出后重启防火墙 二、【firewall】防火墙 1、查看firewall服务状态 出现Active: active (running)切高亮显示则表示是启动状态。出现 Active: inactive (dead)灰色表示停止,看单词也行。 3、开启、重启、
Linux服务器防火墙配置
qq_45740503的博客
01-16 1373
Linux服务器防火墙配置
Linux系统核心命令与基础架构配置指南
03-25
内容概要:本文档全面介绍了Linux的基础知识,涵盖了系统目录结构、命令行工具、网络配置、磁盘管理、软件安装等多个方面。首先介绍了Linux的基本目录结构及其功能,如/bin、/etc、/home等重要目录的作用。接着讲述...
Linux环境下Tomcat的安装与配置详细指南
web13508588635的博客
12-29 1275
Apache Tomcat是一个广泛使用的开源Java Servlet容器和Web服务器,适用于运行Java Web应用程序。本指南详细介绍如何在Linux环境中安装和配置Tomcat,包括必要的前提条件、下载安装、配置环境变量、设置为系统服务以及基本的安全配置
【操作系统领域】Ubuntu 20.04安装教程:从镜像下载到系统配置详细步骤指南
最新发布
04-08
内容概要:本文档详细介绍了 Ubuntu 20.04 的安装步骤,从下载镜像到制作启动 U 盘,再到进入安装界面、选择安装类型、磁盘分区、设置...文档还提供了安装后的配置建议,如更新系统、安装常用工具以及设置防火墙等。;
Linux防火墙配置详解:安装与实用指南
本篇文章主要围绕"防火墙配置选项"这一主题,深入探讨了在Linux操作系统环境下进行安装与使用的详细指南。首先,文章以Red Hat Linux 9为基础培训平台,引导读者了解Linux的基本概念和发展历程。 在第一部分"认识...
Linux 防火墙设置
前端先锋
07-07 515
修改防火墙配置需要修改 /etc/sysconfig/iptables 这个文件,如果要开放哪个端口,在里面添加一条。-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT就可以了,其中 1521 是要开放的端口号,然后重新启动linux防火墙服务。停止/启动防火墙服务的命令:用root登录后,执行service iptables stop --停止service iptables start --启
Linux 防火墙配置(iptables和firewalld)
热门推荐
m0_49864110的博客
02-21 2万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
linux 防火墙配置
just_a_litte_body的博客
10-11 219
centos7版本对防火墙进行 加强,不再使用原来的iptables,启用firewall 配置文件 /etc/firewalld/zones/public.xml 可以查看已经配置的端口 1.查看已开放的端口(默认不开放任何端口) firewall-cmd --list-ports 查看firewalld状态 systemctl status firewalld 2.开启80端口 ...
linux防火墙配置
weixin_47600479的博客
09-29 4350
一,安装并启动防火墙 [root@linux ~]# /etc/init.d/iptables start 当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以CentOS为例,文件地址是/etc/sysconfig /iptables,我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个文件就行了。 1.加载模块 /sbin/modprobe ip_tables 2.查看规则 iptables -L -n -v 3.设置规
Linux防火墙的设置
勤能补拙
12-25 1692
当不能通过某个端口访问远程主机的时候,很可能是因为设置了防火墙的缘故。本文档将会详细介绍如何设置防火墙。 1)      检查某个端口(例如:23)是否使用的命令: # netstat -pan |grep 23 注:使用man netstat获取更多的信息。 # netstat -nupl                           // 查看UDP类型端口使用情况 # net
Linux系统下Apache WEB服务器配置指南
Apache的文档和社区资源丰富,为用户提供了详细配置指南和问题解决方案。配置一个全能的Web服务器是一个涉及多方面技能的过程,但有了开源软件如Apache的支持,这个过程相对平滑且可定制化程度高。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

独隅

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值