Linux 系统下防火墙配置的详细指南

已于 2025-04-30 18:12:55 修改
阅读量1.7k 收藏 13
点赞数 23
分类专栏: 运维 Linux 服务器 文章标签: linux 运维 服务器
于 2025-03-17 14:19:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45657541/article/details/146314202
版权

在这里插入图片描述

以下是 Linux 系统下防火墙配置的详细指南,涵盖 iptablesufwfirewalld 等主流工具的使用方法和实战场景!

Linux 系统下防火墙配置的详细指南

1. 防火墙工具对比

工具适用场景特点
iptables传统 Linux 系统(如 CentOS/RHEL)功能强大,规则灵活,但配置复杂
ufwUbuntu/Debian 等新发行版图形化界面,命令简洁,适合新手
firewalldRHEL/CentOS 8+/Fedora基于服务的动态防火墙,支持 NAT 和端口转发

2. iptables 基础配置

2.1 查看规则

iptables -L -n -v  # 查看所有规则(-n 不解析域名,-v 显示详细信息)

2.2 清空规则

iptables -F  # 清空所有规则
iptables -t nat -F  # 清空 NAT 表

2.3 基础规则示例

# 允许 SSH(端口 22)入站
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许 HTTP/HTTPS(端口 80/443)入站
iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT

# 拒绝其他所有入站流量(默认策略)
iptables -P INPUT DROP

# 保存规则(根据系统选择以下命令)
iptables-save | sudo tee /etc/sysconfig/iptables  # CentOS/RHEL
iptables-save > /etc/iptables/rules.v4          # Ubuntu/Debian

2.4 高级功能

# 设置 NAT 规则(端口转发)
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination :80
iptables -t nat -A POSTROUTING -j MASQUERADE

# 限制 IP 访问频率(每分钟最多 10 次)
iptables -I INPUT -p tcp --dport 22 -m limit --limit 10/min -j ACCEPT

3. ufw(Uncomplicated Firewall)配置

3.1 启用与禁用

sudo ufw enable  # 启用防火墙
sudo ufw disable # 禁用防火墙

3.2 规则配置

# 开放端口(默认策略为拒绝)
sudo ufw allow 22/tcp  # SSH
sudo ufw allow 80,443/tcp  # HTTP/HTTPS

# 拒绝特定 IP(如 192.168.1.100)
sudo ufw deny from 192.168.1.100 to any

# 删除规则
sudo ufw delete allow 22/tcp

# 查看规则
sudo ufw status numbered  # 显示带序号的规则

3.3 高级配置

# 限制 SSH 最大连接数
sudo ufw limit 22/tcp  # 默认:每分钟 60 次,突发 10 次

# 设置默认策略(优先级最低)
sudo ufw default deny incoming  # 入站默认拒绝
sudo ufw default allow outgoing   # 出站默认允许

4. firewalld 配置

4.1 启用与禁用

sudo systemctl start firewalld       # 启动服务
sudo systemctl enable firewalld      # 设置开机自启
sudo systemctl stop firewalld        # 停止服务

4.2 查看与修改规则

# 查看所有活动区域规则
sudo firewall-cmd --list-all

# 添加开放端口(永久生效)
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent

# 临时添加规则(重启后失效)
sudo firewall-cmd --zone=public --add-port=80/tcp

# 删除规则
sudo firewall-cmd --zone=public --remove-port=80/tcp --permanent

4.3 高级功能

# 设置服务(预定义规则集)
sudo firewall-cmd --zone=public --add-service=http --permanent

# 添加富规则(复杂匹配)
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'

# 启用 NAT 和路由
sudo firewall-cmd --zone=public --add-masquerade --permanent

5. 防火墙策略设计原则

  1. 最小化开放端口:仅开放必要服务(如 SSH、HTTP)。
  2. 默认拒绝策略:未明确允许的流量应默认拒绝。
  3. 分层防御:结合内核防火墙(iptables)和 service-level 防火墙(firewalld)。
  4. 日志记录:监控可疑流量(如 --log 选项)。
  5. 定期审计:清理过期规则,更新策略。

6. 实战场景

场景 1:Web 服务器防火墙配置

# 使用 ufw
sudo ufw allow 80,443/tcp
sudo ufw default deny incoming
sudo ufw enable

# 使用 firewalld
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent

场景 2:SSH 安全加固

# 限制 IP 白名单(如允许 192.168.1.0/24 网段)
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

# 使用 fail2ban 防止暴力破解
sudo apt install fail2ban
sudo systemctl start fail2ban

7. 常见问题

  1. 规则未生效:
    • 确保保存了规则(如 iptables-savefirewall-cmd --permanent)。
    • 检查是否有其他防火墙工具冲突(如同时运行 iptablesufw)。

  2. 端口转发失败:
    • 确认 NAT 规则正确(iptables -t nat)。
    • 检查系统转发功能是否启用:sudo sysctl -w net.ipv4.ip_forward=1

  3. 服务无法访问:
    • 确认防火墙区域(如 public)包含目标端口。
    • 检查 SELinux/AppArmor 是否拦截流量(需额外配置)。

附录:工具选择建议

• 新手:优先使用 ufw,命令简单直观。
• 生产环境:使用 firewalld 管理动态服务规则。
• 高级需求:结合 iptables 处理复杂 NAT 和流量限制。

通过合理配置防火墙,可以有效保护服务器安全,同时保持服务的可用性!如果有具体场景(如云服务器安全组配置),欢迎进一步讨论。 🔒

Linux配置防火墙
weixin_48191060的博客
08-04 1575
防火墙Firewalld概述Firewalld和iptables的关系Firewalld网络区域Firewalld防火墙配置方法Firewalld-config图形工具区域介绍 Firewalld概述 Firewalld 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4,IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter 位于Lin
Linux系统iptables防火墙实战指南
qq_24442273的博客
10-21 769
3、如果所有的规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,则继续向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。1、新增规则,使得本机不能ping通其它主机,其它主机可以ping通本机,本机也可以自己ping通自己,命令如下所示:​​​​​​​。2、如果匹配上了相应的规则,即明确表明是阻止还是通过,此时数据包就不再向下匹配新的规则了。1、防火墙是一层层过滤的,就是按照配置规则的顺序从上到下,从前到后进行过滤的。4、防火墙的默认规则是对应链表的所有规则执行完成后,才会执行的规则。
Linux系统核心命令与基础架构配置指南
03-25
内容概要:本文档全面介绍了Linux的基础知识,涵盖了系统目录结构、命令行工具、网络配置、磁盘管理、软件安装等多个方面。首先介绍了Linux的基本目录结构及其功能,如/bin、/etc、/home等重要目录的作用。接着讲述了常用的命令行工具及其用法,例如创建、删除、移动文件和目录的方法。文档还重点讲解了网络配置的步骤,包括使用ifconfig命令配置网络接口,以及编辑配置文件实现静态或动态IP设置。此外,文中涉及磁盘管理和常见文件系统的操作,比如使用fdisk命令进行分区,mkfs进行格式化。对于新手来说,还包含了如何配置防火墙和SELinux的安全措施。关于软件安装部分,则着重比较了编译安装、rpm包管理和yum在线仓库的优势与操作流程,并给出了安装常用服务(如MySQL、Java和Hadoop)的实际步骤,确保用户可以在自己的环境中进行操作实践。 适用人群:适用于想要深入了解Linux系统结构和常用命令的新手用户和技术入门者。 使用场景及目标:适合用于Linux初学者的学习和实验,目的是帮助他们掌握Linux的基本操作技能和关键概念。学习完本文档后,学员应该能够熟练运用命令行进行简单的文件管理系统管理和基础服务搭建,包括但不限于建立和管理用户的权限,进行网络连接配置,实施基本的安全设定等。 其他说明:文档提供了丰富的实践例子,特别是对于初次接触Linux的人来说非常友好。通过具体的命令示范和详细的解释,不仅有助于理解抽象的概念,也能让用户更好地适应实际的工作环境。此外,针对常见的问题也给出了解决方法,例如安装过程中遇到错误应该如何排查,以及特定环境下的一些注意事项。总之,这是一个非常好的学习资源,可以帮助任何人迅速而有效地开始他们在Linux世界里的探索之旅。
Linux防火墙设置
fmhui879的专栏
02-25 6015
<br />1、当Linux打开防火墙后,你会发现,从本机登录23端口是没有问题的,但是如果从另一台pc登录该linux系统后<br />,你会发现提示这样的错误: 不能打开到主机的连接, 在端口 23: 连接失败 。<br />2、因为linux防火墙默认是关闭23端口的,如果允许远程登录,可以关掉防火墙,也可以开防火墙开放23端口,具<br />体如下: <br />A、即时生效,重启后失效 <br />开启: service iptables start <br />关闭: service iptab
linux firewalld防火墙概述与配置
最新发布
2501_91344113的博客
04-20 890
firewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则告诉netfilter 对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方便地组织和管理防火墙,firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4、IPv6 防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。
linux防火墙(firewalld和iptables)
肥猫警长的博客
11-01 5952
这里写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网段)及端口 及服务3.1.3其它
防火墙系统通常由什么组成/开源防火墙系统-手把手教黑客笔记
程序员六七的博客
06-05 977
Linux系统iptables防火墙实战指南~
Linux系统配置防火墙
cheagoun的博客
05-12 2697
开启Firewall防火墙后,默认情况下,只有本机可以访问本机的容器和应用。
centOS7查看防火墙状态
只为成功找方法 不为失败找借口
05-05 2509
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:s...
linux设置iptables防火墙
rmoleo的博客
09-19 806
linux 设置iptables 防火墙
Linux防火墙配置
FanGer的博客
06-29 1万+
【收藏】CentOS7防火墙默认使用的是firewall,Centos 6.x使用iptables。# 查看防火墙状态 # 停止防火墙 # 启动防火墙 # 重启防火墙 # 永久关闭防火墙 # 永久关闭后重启 2、开启80端口 # 加入如下代码 保存退出后重启防火墙 二、【firewall】防火墙 1、查看firewall服务状态 出现Active: active (running)切高亮显示则表示是启动状态。出现 Active: inactive (dead)灰色表示停止,看单词也行。 3、开启、重启、
linux防火墙配置
weixin_43135696的博客
06-13 2155
防火墙
【操作系统领域】Ubuntu 20.04安装教程:从镜像下载到系统配置详细步骤指南
04-08
若是在Linux或macOS系统下,则可以使用`dd`命令来制作启动U盘。 安装前,需要重启电脑并进入BIOS设置界面。在BIOS中设置U盘为第一启动项,并保存设置后重启电脑。这样,电脑就会从U盘启动并进入Ubuntu的安装界面。 ...
Linux环境下Tomcat的安装与配置详细指南
web13508588635的博客
12-29 1305
Apache Tomcat是一个广泛使用的开源Java Servlet容器和Web服务器,适用于运行Java Web应用程序。本指南详细介绍如何在Linux环境中安装和配置Tomcat,包括必要的前提条件、下载安装、配置环境变量、设置为系统服务以及基本的安全配置
Linux防火墙配置
vivlol918的博客
04-24 5024
Firewalld作为Linux操作系统的很好的一个防火墙,可以保护服务器免受恶意攻击。
Linux 防火墙配置(iptables和firewalld)
热门推荐
m0_49864110的博客
02-21 2万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
Linux防火墙的设置
勤能补拙
12-25 1696
当不能通过某个端口访问远程主机的时候,很可能是因为设置了防火墙的缘故。本文档将会详细介绍如何设置防火墙。 1)      检查某个端口(例如:23)是否使用的命令: # netstat -pan |grep 23 注:使用man netstat获取更多的信息。 # netstat -nupl                           // 查看UDP类型端口使用情况 # net
Linux-配置防火墙
king19971225的博客
08-24 1227
防火墙技术是用于安全管理的软件和硬件设备,在计算机之间构建一道相对隔绝的,以保护数据和信息安全性的一种技术。防火墙分和。由组成,可以保护整个网络,价格也很贵,从几万到几十万的都有,功能非常强大,主要包括等功能。主机防火墙只有软件部分(操作系统和杀毒软件自带),用于保护本操作系统,功能比较简单,只能防范简单的攻击。这节课将介绍主机防火墙(CentOS7以上版本)的使用和配置
Linux服务器防火墙配置
qq_45740503的博客
01-16 1422
Linux服务器防火墙配置
Linux系统下Apache WEB服务器配置指南
Apache的文档和社区资源丰富,为用户提供了详细配置指南和问题解决方案。配置一个全能的Web服务器是一个涉及多方面技能的过程,但有了开源软件如Apache的支持,这个过程相对平滑且可定制化程度高。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

独隅

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值