要設(shè)置linux防火墻規(guī)則,首先確認使用的工具,再根據(jù)工具配置相應(yīng)規(guī)則。一、確認使用的防火墻工具:通過systemctl status firewalld或systemctl status iptables判斷系統(tǒng)使用firewalld還是iptables,centos/rhel默認用firewalld,Ubuntu傾向用ufw或iptables。二、使用firewalld配置基本規(guī)則:1.查看狀態(tài)和默認區(qū)域,用firewall-cmd –state和firewall-cmd –get-default-zone,必要時更改默認區(qū)域;2.開放指定端口如80/tcp、443/tcp,使用firewall-cmd –permanent –add-port=port/tcp并重載配置;3.添加允許的服務(wù)如ssh,使用firewall-cmd –permanent –add-service=service_name。三、使用iptables配置規(guī)則:1.添加允許ssh的規(guī)則iptables -a input -p tcp –dport 22 -j accept;2.拒絕所有其他入站連接iptables -a input -j drop,注意規(guī)則順序;3.保存規(guī)則,在centos執(zhí)行service iptables save,ubuntu則用iptables-save > /etc/iptables/rules.v4。四、注意事項與建議:測試規(guī)則前保持ssh通道不中斷;定期審查規(guī)則列表;自定義規(guī)則而非依賴默認配置;啟用日志記錄幫助排查問題,例如添加iptables -a input -j log –log-prefix “iptables-dropped: “。
在Linux系統(tǒng)中,配置防火墻是保障服務(wù)器安全的重要步驟。防火墻可以控制進出系統(tǒng)的網(wǎng)絡(luò)流量,防止未經(jīng)授權(quán)的訪問。常用的工具有iptables和更現(xiàn)代的firewalld,不同發(fā)行版可能默認使用其中一個。下面從實際操作角度出發(fā),分幾個關(guān)鍵點來講解如何設(shè)置Linux防火墻規(guī)則。
一、確認使用的防火墻工具
Linux系統(tǒng)常見的防火墻管理方式有兩種:iptables和firewalld。
- iptables是一個老牌的防火墻工具,通過命令直接操作內(nèi)核的netfilter模塊。
- firewalld則提供了動態(tài)管理防火墻的能力,支持區(qū)域(zone)概念,更適合桌面或服務(wù)器環(huán)境的靈活配置。
可以通過以下命令查看當前系統(tǒng)使用的是哪個:
systemctl status firewalld
或者檢查是否安裝了iptables服務(wù):
systemctl status iptables
如果你不確定用哪個,大多數(shù)centos/RHEL 7+系統(tǒng)默認使用firewalld,而Ubuntu則傾向于使用ufw(簡化版),但也可以使用iptables。
二、使用firewalld配置基本規(guī)則
如果你的系統(tǒng)使用的是firewalld,可以通過如下方式快速設(shè)置常用規(guī)則。
1. 查看當前狀態(tài)和默認區(qū)域
firewall-cmd --state firewall-cmd --get-default-zone
通常默認區(qū)域為public,你可以根據(jù)需要更改:
firewall-cmd --set-default-zone=home
2. 開放指定端口
firewall-cmd --permanent --add-port=80/tcp firewall-cmd --permanent --add-port=443/tcp
添加完成后記得重載配置:
firewall-cmd --reload
3. 添加允許的服務(wù)
firewalld內(nèi)置了一些常見服務(wù)名稱,比如ssh、http等:
firewall-cmd --permanent --add-service=ssh
這種方式比直接開端口更規(guī)范,也方便維護。
三、使用iptables配置規(guī)則(適合舊系統(tǒng))
對于還在使用iptables的系統(tǒng),可以直接編輯規(guī)則文件或使用命令行添加規(guī)則。
1. 添加允許SSH連接的規(guī)則
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
2. 拒絕所有其他入站連接
iptables -A INPUT -j DROP
注意順序很重要,因為iptables是按順序匹配的。應(yīng)該先把允許的規(guī)則寫在前面,最后再加拒絕規(guī)則。
3. 保存規(guī)則
保存方法因系統(tǒng)而異,在CentOS上可以使用:
service iptables save
而在Ubuntu上可能需要手動保存到文件:
iptables-save > /etc/iptables/rules.v4
四、注意事項與建議
- 測試規(guī)則前保留SSH通道:修改防火墻規(guī)則時,務(wù)必確保至少有一個終端保持SSH連接不斷開,否則可能把自己鎖在外面。
- 定期審查規(guī)則列表:可以用iptables -L -n或firewall-cmd –list-all查看當前生效的規(guī)則。
- 不要過度依賴默認配置:很多系統(tǒng)默認只允許部分服務(wù),但并不一定滿足你的需求,最好自己檢查并定制。
- 啟用日志有助于排查問題:可以添加日志記錄規(guī)則,例如:
iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: "
這樣可以在系統(tǒng)日志里看到被攔截的請求。
基本上就這些。防火墻配置不復(fù)雜,但細節(jié)容易忽略,尤其是規(guī)則順序和服務(wù)依賴方面。只要理解了基本邏輯,日常維護就不會太難。
