要设置linux防火墙规则,首先确认使用的工具,再根据工具配置相应规则。一、确认使用的防火墙工具:通过systemctl status firewalld或systemctl status iptables判断系统使用firewalld还是iptables,centos/rhel默认用firewalld,Ubuntu倾向用ufw或iptables。二、使用firewalld配置基本规则:1.查看状态和默认区域,用firewall-cmd –state和firewall-cmd –get-default-zone,必要时更改默认区域;2.开放指定端口如80/tcp、443/tcp,使用firewall-cmd –permanent –add-port=port/tcp并重载配置;3.添加允许的服务如ssh,使用firewall-cmd –permanent –add-service=service_name。三、使用iptables配置规则:1.添加允许ssh的规则iptables -a input -p tcp –dport 22 -j accept;2.拒绝所有其他入站连接iptables -a input -j drop,注意规则顺序;3.保存规则,在centos执行service iptables save,ubuntu则用iptables-save > /etc/iptables/rules.v4。四、注意事项与建议:测试规则前保持ssh通道不中断;定期审查规则列表;自定义规则而非依赖默认配置;启用日志记录帮助排查问题,例如添加iptables -a input -j log –log-prefix “iptables-dropped: “。
在Linux系统中,配置防火墙是保障服务器安全的重要步骤。防火墙可以控制进出系统的网络流量,防止未经授权的访问。常用的工具有iptables和更现代的firewalld,不同发行版可能默认使用其中一个。下面从实际操作角度出发,分几个关键点来讲解如何设置Linux防火墙规则。
一、确认使用的防火墙工具
Linux系统常见的防火墙管理方式有两种:iptables和firewalld。
- iptables是一个老牌的防火墙工具,通过命令直接操作内核的netfilter模块。
- firewalld则提供了动态管理防火墙的能力,支持区域(zone)概念,更适合桌面或服务器环境的灵活配置。
可以通过以下命令查看当前系统使用的是哪个:
systemctl status firewalld
或者检查是否安装了iptables服务:
systemctl status iptables
如果你不确定用哪个,大多数centos/RHEL 7+系统默认使用firewalld,而Ubuntu则倾向于使用ufw(简化版),但也可以使用iptables。
二、使用firewalld配置基本规则
如果你的系统使用的是firewalld,可以通过如下方式快速设置常用规则。
1. 查看当前状态和默认区域
firewall-cmd --state firewall-cmd --get-default-zone
通常默认区域为public,你可以根据需要更改:
firewall-cmd --set-default-zone=home
2. 开放指定端口
firewall-cmd --permanent --add-port=80/tcp firewall-cmd --permanent --add-port=443/tcp
添加完成后记得重载配置:
firewall-cmd --reload
3. 添加允许的服务
firewalld内置了一些常见服务名称,比如ssh、http等:
firewall-cmd --permanent --add-service=ssh
这种方式比直接开端口更规范,也方便维护。
三、使用iptables配置规则(适合旧系统)
对于还在使用iptables的系统,可以直接编辑规则文件或使用命令行添加规则。
1. 添加允许SSH连接的规则
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
2. 拒绝所有其他入站连接
iptables -A INPUT -j DROP
注意顺序很重要,因为iptables是按顺序匹配的。应该先把允许的规则写在前面,最后再加拒绝规则。
3. 保存规则
保存方法因系统而异,在CentOS上可以使用:
service iptables save
而在Ubuntu上可能需要手动保存到文件:
iptables-save > /etc/iptables/rules.v4
四、注意事项与建议
- 测试规则前保留SSH通道:修改防火墙规则时,务必确保至少有一个终端保持SSH连接不断开,否则可能把自己锁在外面。
- 定期审查规则列表:可以用iptables -L -n或firewall-cmd –list-all查看当前生效的规则。
- 不要过度依赖默认配置:很多系统默认只允许部分服务,但并不一定满足你的需求,最好自己检查并定制。
- 启用日志有助于排查问题:可以添加日志记录规则,例如:
iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: "
这样可以在系统日志里看到被拦截的请求。
基本上就这些。防火墙配置不复杂,但细节容易忽略,尤其是规则顺序和服务依赖方面。只要理解了基本逻辑,日常维护就不会太难。
