linux防火墙配置主要通过iptables和firewalld实现,前者更底层,后者更易用。1. iptables直接操作内核规则,使用-a添加规则,-d删除规则,-p设置默认策略,需手动保存规则至配置文件;2. firewalld采用区域管理方式,使用–add-port、–add-source等命令添加规则,–permanent设为永久生效,并通过–reload加载配置;3. 性能上iptables略优,但firewalld更便于动态管理;4. 策略选择应基于服务器用途开放必要端口并限制访问来源;5. 配置错误可通过检查状态、规则顺序、抓包分析等方式排查。
linux防火墙配置,说白了就是设置哪些流量能进,哪些流量不能进。这事儿在Linux上主要靠
iptables
和
firewalld
这两个家伙。简单来说,
iptables
更底层,直接操作内核的
netfilter
模块,而
firewalld
则是
iptables
的一个前端,用起来更方便点。
解决方案
配置Linux防火墙,你可以选择直接使用
iptables
命令,也可以选择用
firewalld
这种更高级的工具。两种方法各有优缺点,看你的需求和习惯。
1. 使用 iptables:
iptables
命令比较底层,功能强大,但是配置起来也比较复杂。它的核心是规则,规则定义了如何处理进出服务器的数据包。
-
查看当前规则:
iptables -L
(列出所有规则)
iptables -L -n
(显示IP地址和端口号,而不是尝试解析它们)
-
添加规则:
iptables -A input -p tcp --dport 80 -j ACCEPT
(允许所有来源的TCP流量访问80端口)
iptables -A INPUT -s 192.168.1.100 -j ACCEPT
(允许来自IP地址 192.168.1.100 的所有流量)
iptables -A INPUT -j DROP
(丢弃所有其他入站流量,放在最后一条规则)
解释一下:
-A
表示添加到哪个链,
INPUT
链处理入站流量,
-p
指定协议,
--dport
指定目标端口,
-s
指定源地址,
-j
指定动作,
ACCEPT
允许流量通过,
DROP
丢弃流量。
-
删除规则:
iptables -D INPUT -p tcp --dport 80 -j ACCEPT
(删除刚才添加的规则)
或者,你可以先用
iptables -L --line-numbers
列出规则的编号,然后用
iptables -D INPUT <编号>
删除。
-
保存规则:
iptables-save > /etc/iptables/rules.v4
(保存 IPv4 规则)
ip6tables-save > /etc/iptables/rules.v6
(保存 IPv6 规则)
不同Linux发行版保存规则的方式可能不一样,比如centos用
service iptables save
,ubuntu用
iptables-save
命令。
-
加载规则:
iptables-restore < /etc/iptables/rules.v4
(加载 IPv4 规则)
ip6tables-restore < /etc/iptables/rules.v6
(加载 IPv6 规则)
2. 使用 firewalld:
firewalld
是一个动态防火墙管理器,它使用“区域” (zones) 的概念来管理规则。 它比直接使用
iptables
更易于配置和管理。
-
启动、停止和查看状态:
systemctl start firewalld
(启动)
systemctl stop firewalld
(停止)
systemctl status firewalld
(查看状态)
-
查看默认区域:
firewall-cmd --get-default-zone
-
查看当前区域的规则:
firewall-cmd --list-all --zone=public
(查看 public 区域的规则)
-
添加规则:
firewall-cmd --zone=public --add-port=80/tcp --permanent
(允许 public 区域的TCP流量访问80端口,
--permanent
表示永久生效)
firewall-cmd --zone=public --add-service=http --permanent
(允许 public 区域的 HTTP 服务)
firewall-cmd --zone=public --add-source=192.168.1.0/24 --permanent
(允许来自 192.168.1.0/24 网段的所有流量)
-
删除规则:
firewall-cmd --zone=public --remove-port=80/tcp --permanent
(删除刚才添加的端口规则)
-
重新加载防火墙:
firewall-cmd --reload
(重新加载防火墙,使永久规则生效)
-
列出所有可用服务:
firewall-cmd --get-services
firewalld
使用 xml 文件来存储配置,这些文件通常位于
/etc/firewalld/
目录下。
代码示例 (iptables):
#!/bin/bash # 清空所有规则 iptables -F iptables -X iptables -Z # 设置默认策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # 允许 loopback 接口 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # 允许已建立的连接和相关连接 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 允许 SSH 连接 (22 端口) iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许 HTTP 和 HTTPS 连接 (80 和 443 端口) iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 保存规则 iptables-save > /etc/iptables/rules.v4
代码示例 (firewalld):
#!/bin/bash # 设置默认区域为 public firewall-cmd --set-default-zone=public # 允许 SSH 服务 firewall-cmd --zone=public --add-service=ssh --permanent # 允许 HTTP 和 HTTPS 服务 firewall-cmd --zone=public --add-service=http --permanent firewall-cmd --zone=public --add-service=https --permanent # 允许特定端口 (例如 8080) firewall-cmd --zone=public --add-port=8080/tcp --permanent # 允许来自特定 IP 地址的流量 firewall-cmd --zone=public --add-source=192.168.1.100 --permanent # 重新加载防火墙 firewall-cmd --reload
iptables和firewalld性能差异?
iptables
直接操作
netfilter
钩子,理论上性能会稍微好一点,因为少了一层抽象。但是,对于大多数应用场景来说,
firewalld
的性能损失可以忽略不计。
firewalld
的优势在于它的动态性和易用性,可以更方便地管理复杂的防火墙规则。如果你的服务器对性能要求非常苛刻,并且你对
iptables
非常熟悉,那么可以选择直接使用
iptables
。否则,
firewalld
是一个更好的选择。
如何选择合适的防火墙策略?
选择防火墙策略,首先要明确服务器的用途。如果是 Web 服务器,就要开放 80 和 443 端口。如果是数据库服务器,就要开放数据库的端口。总的原则是:只开放必要的端口,关闭所有不必要的端口。 另外,还要考虑安全性。 可以使用白名单策略,只允许特定的 IP 地址访问服务器。 还可以使用端口转发,将外部端口映射到内部端口,隐藏服务器的真实端口。
防火墙配置错误的常见问题及排查方法?
防火墙配置错误会导致各种问题,比如无法访问 Web 页面,无法连接数据库等等。排查方法一般是:
- 查看防火墙状态: 确认防火墙是否正在运行。
- 查看防火墙规则: 确认规则是否正确配置。
- 使用
或
抓包:
查看数据包是否被防火墙拦截。 - 临时关闭防火墙: 如果关闭防火墙后问题解决,那么问题肯定出在防火墙配置上。
另外,还要注意规则的顺序。
iptables
按照规则的顺序进行匹配,如果前面的规则已经匹配,后面的规则就不会生效。
firewalld
也有类似的问题,要注意区域的优先级。
