linux防火墙配置主要通过iptables和firewalld实现,前者更底层,后者更易用。1. iptables直接操作内核规则,使用-a添加规则,-d删除规则,-p设置默认策略,需手动保存规则至配置文件;2. firewalld采用区域管理方式,使用--add-port、--add-source等命令添加规则,--permanent设为永久生效,并通过--reload加载配置;3. 性能上iptables略优,但firewalld更便于动态管理;4. 策略选择应基于服务器用途开放必要端口并限制访问来源;5. 配置错误可通过检查状态、规则顺序、抓包分析等方式排查。
Linux防火墙配置,说白了就是设置哪些流量能进,哪些流量不能进。这事儿在Linux上主要靠
iptables和
firewalld这两个家伙。简单来说,
iptables更底层,直接操作内核的
netfilter模块,而
firewalld则是
iptables的一个前端,用起来更方便点。
解决方案
配置Linux防火墙,你可以选择直接使用
iptables命令,也可以选择用
firewalld这种更高级的工具。两种方法各有优缺点,看你的需求和习惯。
1. 使用 iptables:
iptables命令比较底层,功能强大,但是配置起来也比较复杂。它的核心是规则,规则定义了如何处理进出服务器的数据包。
-
查看当前规则:
iptables -L
(列出所有规则)iptables -L -n
(显示IP地址和端口号,而不是尝试解析它们) -
添加规则:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
(允许所有来源的TCP流量访问80端口)iptables -A INPUT -s 192.168.1.100 -j ACCEPT
(允许来自IP地址 192.168.1.100 的所有流量)iptables -A INPUT -j DROP
(丢弃所有其他入站流量,放在最后一条规则)解释一下:
-A
表示添加到哪个链,INPUT
链处理入站流量,-p
指定协议,--dport
指定目标端口,-s
指定源地址,-j
指定动作,ACCEPT
允许流量通过,DROP
丢弃流量。 -
删除规则:
iptables -D INPUT -p tcp --dport 80 -j ACCEPT
(删除刚才添加的规则)或者,你可以先用
iptables -L --line-numbers
列出规则的编号,然后用iptables -D INPUT <编号>
删除。 -
保存规则:
iptables-save > /etc/iptables/rules.v4
(保存 IPv4 规则)ip6tables-save > /etc/iptables/rules.v6
(保存 IPv6 规则)不同Linux发行版保存规则的方式可能不一样,比如CentOS用
service iptables save
,Ubuntu用iptables-save
命令。 -
加载规则:
iptables-restore < /etc/iptables/rules.v4
(加载 IPv4 规则)ip6tables-restore < /etc/iptables/rules.v6
(加载 IPv6 规则)
2. 使用 firewalld:
firewalld是一个动态防火墙管理器,它使用“区域” (zones) 的概念来管理规则。 它比直接使用
iptables更易于配置和管理。
-
启动、停止和查看状态:
systemctl start firewalld
(启动)systemctl stop firewalld
(停止)systemctl status firewalld
(查看状态) -
查看默认区域:
firewall-cmd --get-default-zone
-
查看当前区域的规则:
firewall-cmd --list-all --zone=public
(查看 public 区域的规则) -
添加规则:
firewall-cmd --zone=public --add-port=80/tcp --permanent
(允许 public 区域的TCP流量访问80端口,--permanent
表示永久生效)firewall-cmd --zone=public --add-service=http --permanent
(允许 public 区域的 HTTP 服务)firewall-cmd --zone=public --add-source=192.168.1.0/24 --permanent
(允许来自 192.168.1.0/24 网段的所有流量) -
删除规则:
firewall-cmd --zone=public --remove-port=80/tcp --permanent
(删除刚才添加的端口规则) -
重新加载防火墙:
firewall-cmd --reload
(重新加载防火墙,使永久规则生效) -
列出所有可用服务:
firewall-cmd --get-services
firewalld使用 XML 文件来存储配置,这些文件通常位于
/etc/firewalld/目录下。
代码示例 (iptables):
#!/bin/bash # 清空所有规则 iptables -F iptables -X iptables -Z # 设置默认策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # 允许 loopback 接口 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # 允许已建立的连接和相关连接 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 允许 SSH 连接 (22 端口) iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许 HTTP 和 HTTPS 连接 (80 和 443 端口) iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 保存规则 iptables-save > /etc/iptables/rules.v4
代码示例 (firewalld):
#!/bin/bash # 设置默认区域为 public firewall-cmd --set-default-zone=public # 允许 SSH 服务 firewall-cmd --zone=public --add-service=ssh --permanent # 允许 HTTP 和 HTTPS 服务 firewall-cmd --zone=public --add-service=http --permanent firewall-cmd --zone=public --add-service=https --permanent # 允许特定端口 (例如 8080) firewall-cmd --zone=public --add-port=8080/tcp --permanent # 允许来自特定 IP 地址的流量 firewall-cmd --zone=public --add-source=192.168.1.100 --permanent # 重新加载防火墙 firewall-cmd --reload
iptables和firewalld性能差异?
iptables直接操作
netfilter钩子,理论上性能会稍微好一点,因为少了一层抽象。但是,对于大多数应用场景来说,
firewalld的性能损失可以忽略不计。
firewalld的优势在于它的动态性和易用性,可以更方便地管理复杂的防火墙规则。如果你的服务器对性能要求非常苛刻,并且你对
iptables非常熟悉,那么可以选择直接使用
iptables。否则,
firewalld是一个更好的选择。
如何选择合适的防火墙策略?
选择防火墙策略,首先要明确服务器的用途。如果是 Web 服务器,就要开放 80 和 443 端口。如果是数据库服务器,就要开放数据库的端口。总的原则是:只开放必要的端口,关闭所有不必要的端口。 另外,还要考虑安全性。 可以使用白名单策略,只允许特定的 IP 地址访问服务器。 还可以使用端口转发,将外部端口映射到内部端口,隐藏服务器的真实端口。
防火墙配置错误的常见问题及排查方法?
防火墙配置错误会导致各种问题,比如无法访问 Web 页面,无法连接数据库等等。排查方法一般是:
- 查看防火墙状态: 确认防火墙是否正在运行。
- 查看防火墙规则: 确认规则是否正确配置。
-
使用
tcpdump
或wireshark
抓包: 查看数据包是否被防火墙拦截。 - 临时关闭防火墙: 如果关闭防火墙后问题解决,那么问题肯定出在防火墙配置上。
另外,还要注意规则的顺序。
iptables按照规则的顺序进行匹配,如果前面的规则已经匹配,后面的规则就不会生效。
firewalld也有类似的问题,要注意区域的优先级。
