Linux如何部署防火墙白名单机制_LinuxIP策略配置

答案：通过iptables或firewalld配置IP白名单实现Linux防火墙访问控制。首先清空规则并允许本地和已建立连接，使用iptables添加特定IP访问SSH并拒绝其他请求，或通过firewalld将可信IP加入trusted区域并开放SSH服务，最后保存规则并重载；需确保备用访问、结合fail2ban增强安全、支持多IP或子网、定期审查规则，遵循默认拒绝原则，测试连通性。

在Linux系统中部署防火墙白名单机制，主要是通过配置IP策略来限制只有特定IP地址或网段可以访问服务器的服务。常用工具是iptables或更现代的firewalld（取决于发行版）。以下以这两种主流方式说明如何实现基于IP的访问控制白名单。

使用 iptables 配置IP白名单

iptables 是 Linux 传统且强大的包过滤工具，适合直接操作内核级网络规则。

场景：只允许特定IP（如 192.168.1.100）访问SSH服务（端口22），拒绝其他所有IP。

操作步骤：

• 清空现有规则（谨慎操作，建议先保存）：
  iptables -F
• 允许本地回环接口通信：
  iptables -A INPUT -i lo -j ACCEPT
• 允许已建立的连接通过：
  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
• 添加白名单IP：
  iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT
• 拒绝其他所有访问SSH的请求：
  iptables -A INPUT -p tcp --dport 22 -j REJECT
• 保存规则（CentOS/RHEL）：
  service iptables save

保存后重启也不会丢失（需确保iptables服务启用）。

Reclaim.ai

为优先事项创建完美的时间表

90

查看详情

使用 firewalld 配置IP白名单（推荐用于 CentOS 7+/RHEL/Fedora）

firewalld 提供动态管理防火墙的能力，支持区域（zone）概念，更适合白名单场景。

思路：将可信IP加入特定区域（如 trusted），并在该区域开放所需服务。

• 启动并启用 firewalld：
  systemctl start firewalld && systemctl enable firewalld
• 创建 trusted 区域并添加白名单IP：
  firewall-cmd --permanent --add-source=192.168.1.100 --zone=trusted
• 在 trusted 区域中允许SSH服务：
  firewall-cmd --permanent --zone=trusted --add-service=ssh
• 重新加载配置：
  firewall-cmd --reload

这样只有来自 192.168.1.100 的流量会被允许访问SSH，其他IP默认被拒绝（假设默认区域为public且未开放SSH）。

补充建议与注意事项

• 配置前确保有备用访问方式（如控制台），避免被锁在服务器外。
• 可结合 fail2ban 自动封禁异常IP，增强安全性。
• 多IP白名单可重复添加规则或使用子网表示（如 192.168.1.0/24）。
• 定期审查规则列表：
  iptables 使用 iptables -L -n -v，
  firewalld 使用 firewall-cmd --list-all-zones。

基本上就这些。选择 iptables 还是 firewalld 取决于系统环境和运维习惯，关键是明确“默认拒绝 + 白名单放行”的安全原则。配置完成后务必测试连通性和容错性。不复杂但容易忽略细节。

以上就是Linux如何部署防火墙白名单机制_LinuxIP策略配置的详细内容，更多请关注php中文网其它相关文章！