linux下防火墙配置

在Linux系统中，防火墙是保护系统免受网络攻击的重要工具。常见的防火墙工具包括 iptables、nftables、ufw（Ubuntu/Debian）和 firewalld（RHEL/CentOS）。以下是详细的防火墙配置指南：

---

一、基础工具选择

1. iptables

   • 传统Linux防火墙工具，直接操作内核的Netfilter框架。

   • 适合手动配置复杂规则，但需要熟悉语法。

2. ufw（Uncomplicated Firewall）

   • 为iptables提供简化接口，适合新手和快速配置（Ubuntu默认工具）。

3. firewalld

   • RHEL/CentOS/Fedora的默认动态防火墙管理工具，支持“区域”概念，适合服务器多网卡场景。

4. nftables

   • iptables的替代品，语法更简洁，性能更好（推荐新系统使用）。

---

二、通用防火墙配置原则

1. 默认拒绝所有流量

   bash

   复制

   下载

   # iptables/nftables
   iptables -P INPUT DROP    # 默认拒绝所有入站
   iptables -P FORWARD DROP  # 默认拒绝转发
   iptables -P OUTPUT ACCEPT # 允许所有出站（根据需求调整）

2. 按需开放端口

   • 仅允许必要的服务（如SSH、HTTP/HTTPS）。

3. 限制源IP范围

   • 仅允许特定IP或网段访问敏感端口（如数据库、管理接口）。

4. 防范常见攻击

   • 阻止无效数据包、SYN洪水攻击等。

---

三、配置示例

1. 使用 ufw（Ubuntu/Debian）

• 启用并初始化

  bash

  复制

  下载

  ufw enable          # 启用防火墙
  ufw default deny    # 默认拒绝所有入站

• 开放基础服务

  bash

  复制

  下载

  ufw allow 22/tcp              # 允许SSH
  ufw allow 80,443/tcp          # 允许HTTP/HTTPS
  ufw allow from 192.168.1.0/24 # 允许局域网访问

• 拒绝特定IP

  bash

  复制

  下载

  ufw deny from 10.0.0.5  # 封禁IP

• 查看规则

  bash

  复制

  下载

  ufw status numbered  # 显示带编号的规则列表

• 删除规则

  bash

  复制

  下载

  ufw delete 3  # 删除编号为3的规则

---

2. 使用 firewalld（RHEL/CentOS）

• 启动服务

  bash

  复制

  下载

  systemctl start firewalld
  systemctl enable firewalld

• 配置区域

  bash

  复制

  下载

  firewall-cmd --zone=public --add-service=ssh --permanent  # 允许SSH
  firewall-cmd --zone=public --add-port=80/tcp --permanent  # 允许HTTP
  firewall-cmd --zone=public --add-source=192.168.1.0/24 --permanent  # 允许网段
  firewall-cmd --reload  # 重载配置

• 限制IP访问

  bash

  复制

  下载

  firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.5" reject' --permanent

• 查看配置

  bash

  复制

  下载

  firewall-cmd --list-all  # 显示当前区域规则

---

3. 使用 iptables（通用）

• 开放SSH和Web服务

  bash

  复制

  下载

  iptables -A INPUT -p tcp --dport 22 -j ACCEPT    # 允许SSH
  iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT  # 允许HTTP/HTTPS

• 允许本地回环

  bash

  复制

  下载

  iptables -A INPUT -i lo -j ACCEPT  # 允许本地通信

• 防止SYN洪水攻击

  bash

  复制

  下载

  iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

• 保存规则

  bash

  复制

  下载

  iptables-save > /etc/iptables/rules.v4  # 持久化规则（Debian）
  service iptables save                   # CentOS 6

---

4. 使用 nftables（推荐新系统）

• 创建规则集

  bash

  复制

  下载

  nft add table inet my_table
  nft add chain inet my_table my_input { type filter hook input priority 0 \; }

• 允许SSH和HTTP

  bash

  复制

  下载

  nft add rule inet my_table my_input tcp dport 22 accept
  nft add rule inet my_table my_input tcp dport 80,443 accept

• 默认拒绝

  bash

  复制

  下载

  nft add rule inet my_table my_input drop

• 保存配置

  bash

  复制

  下载

  nft list ruleset > /etc/nftables.conf  # 导出规则
  systemctl enable nftables

---

四、高级防护配置

1. 防止端口扫描

• 使用iptables限制连接频率：

  bash

  复制

  下载

  iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
  iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP

2. 阻止无效数据包

• 过滤非法流量：

  bash

  复制

  下载

  iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

3. 日志记录

• 记录被拒绝的连接：

  bash

  复制

  下载

  iptables -A INPUT -j LOG --log-prefix "DROPPED: "

---

五、故障排查

1. 检查规则是否生效

   bash

   复制

   下载

   iptables -L -v -n        # 查看iptables规则
   firewall-cmd --list-all   # 查看firewalld配置
   nft list ruleset          # 查看nftables规则

2. 监控日志

   bash

   复制

   下载

   tail -f /var/log/syslog        # Debian/Ubuntu
   journalctl -u firewalld -f     # RHEL/CentOS

3. 测试端口连通性

   bash

   复制

   下载

   nc -zv 192.168.1.100 22  # 测试SSH端口
   telnet 192.168.1.100 80   # 测试HTTP端口

---

六、注意事项

• 避免锁定自己：在配置规则前，确保已开放SSH端口或保留当前会话。

• 持久化规则：使用iptables-save或firewalld --permanent保存配置，防止重启失效。

• 结合其他工具：使用fail2ban动态封禁恶意IP，或SELinux/AppArmor增强访问控制。

通过合理配置防火墙，可以显著提升Linux系统的网络安全性。根据实际需求选择工具，并定期审计规则有效性。