Linux防火墙核心在于理解流量流向与最小权限原则,iptables按表→链→规则三级组织,filter表处理本机进出流量,规则顺序决定匹配结果,firewalld是其封装层,需注意Docker兼容性及持久化配置。
Linux防火墙规则的核心是明确“允许什么、拒绝什么”,关键不在堆砌命令,而在理解流量流向、服务依赖和最小权限原则。用错一条规则可能让SSH断连、服务不可达,甚至掩盖真实攻击行为。
iptables规则编写:先理清链与表的分工
iptables不是“一条命令配完事”的工具。它按表(table)→链(chain)→规则(rule)三级组织:
- filter表:处理进出本机的包,默认链有INPUT(进)、OUTPUT(出)、FORWARD(转发);日常防护90%工作在这里
- nat表:仅在做端口映射、SNAT/DNAT时用,比如公网IP映射内网Web服务,普通服务器不建议随意动
- 规则顺序决定成败:iptables自上而下匹配,一旦命中即执行动作(ACCEPT/DROP/REJECT),后续规则不再检查。所以“允许SSH”必须写在“默认DROP”之前
实用规则模板:从安全基线开始写
不要一上来就封IP或限速。先建立稳定可用的基础策略:
- 保留本地回环通信:
iptables -A INPUT -i lo -j ACCEPT - 放行已建立连接(保障响应包能回来):
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT - 只开必要端口,如SSH(建议改非22端口):
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT - 最后拒绝所有其他入站:
iptables -P INPUT DROP(注意:-P是设置默认策略,不是加规则!别和-A混用)
⚠️ 操作前务必加一条“临时放行”规则并设超时,防锁死:iptables -I INPUT 1 -p tcp --dport 2222 -j ACCEPT && sleep 300 && iptables -D INPUT 1
firewalld更适配现代发行版?别盲目切换
CentOS 7+/RHEL 8+ 默认用firewalld,它本质是iptables的封装层,不是替代品。优势在于动态重载、区域(zone)概念清晰、支持服务名(如http、ssh)而非硬记端口:
- 查当前活跃区域:
firewall-cmd --get-active-zones - 永久开放HTTPS:
firewall-cmd --permanent --add-service=https - 重载生效:
firewall-cmd --reload(不中断现有连接) - 慎用
--remove-all-services——可能一键关掉数据库、监控等依赖端口
若用Docker/Kubernetes,注意firewalld默认与docker0桥接冲突,需配置firewall-cmd --permanent --zone=docker --add-interface=docker0或关闭firewalld改用iptables直接管理。
验证与排错:别信“写了就生效”
规则写完必须验证,常见陷阱:
- 用
iptables -L -n -v看计数器:若某规则packets为0,说明流量根本没走到那里(可能是前面规则截获,或源IP/协议不匹配) - 模拟测试:从另一台机器用
telnet 服务器IP 端口或curl -v http://IP:端口,比看日志更快定位拦截点 - 记录被拒连接(用于分析攻击):
iptables -A INPUT -j LOG --log-prefix "IPTABLES-DROP: ",再配合dmesg或/var/log/messages查看 - 规则持久化别忘:iptables需
iptables-save > /etc/sysconfig/iptables(CentOS)或netfilter-persistent save(Debian),firewalld默认自动保存
基本上就这些。规则不在多,在准;防护不在严,在稳。每次变更只动一处、验证一项,系统稳定性自然提升。
