firewalld 是 iptables 的封装而非替代,底层仍依赖 iptables 规则;它以 zone/service 抽象策略,iptables 以链/表管理执行路径;二者不可混用,否则导致规则冲突或丢失。
firewalld 底层仍是 iptables,不是替代而是封装
firewalld 本身不处理数据包,它只是 netfilter 的“前端控制器”,默认后端仍调用 iptables(或 iptables-nft)生成规则。你可以运行 firewall-cmd --list-all 查看当前策略,再执行 iptables -S,会发现所有 firewalld 添加的服务/端口,都已落地为真实的 iptables 规则——只是被组织在自定义 chain(如 IN_public)里,并通过 -j 跳转调用。
这意味着:如果你绕过 firewalld 直接用 iptables -A INPUT ... 加规则,firewalld 就“看不见”它;反过来,firewalld reload 时可能覆盖你手动写的 iptables 规则。生产环境必须二选一,不能混用。
规则管理逻辑完全不同:zone/service vs 链/表
iptables 是面向“链”的静态规则堆叠:INPUT 链里一条条按顺序匹配,靠位置决定优先级;而 firewalld 是面向“区域(zone)”的策略抽象:比如把网卡 eth0 设为 public 区域,再给该区域添加 ssh 服务,firewalld 就自动帮你打开 22 端口、加 conntrack 放行、限制 ICMP 类型——这些在 iptables 里得手写五六行。
-
firewall-cmd --permanent --add-service=ssh→ 自动等效于多条 iptables 规则(含状态跟踪、端口、协议) -
iptables -A INPUT -p tcp --dport 22 -j ACCEPT→ 只开端口,没做连接状态检查,易被扫描利用 - firewalld 的 rich rule(如
--source-zone=trusted)每条都会生成 3–5 条底层 iptables 规则,高频使用时容易规则膨胀
配置持久化与生效方式差异极大
iptables 规则重启即丢,必须显式保存:iptables-save > /etc/sysconfig/iptables;而 firewalld 默认就持久化——但仅限于它自己管理的部分(/etc/firewalld/ 下的 XML 文件)。如果你用 firewall-cmd --direct 手动加 raw 规则,这些不会自动写入配置文件,reload 后消失。
- firewalld 永久生效:先加
--permanent,再firewall-cmd --reload - iptables 永久生效:依赖
iptables-services包或 systemd service(如systemctl enable iptables) - 误操作风险:直接编辑
/etc/firewalld/zones/public.xml后忘记--reload,改了等于没改
默认策略相反,新手最容易栽在这里
iptables 默认策略是 ACCEPT(全通),你得主动 DROP 不想要的流量;firewalld 默认策略是 DROP(全拒),你得主动 add-service 或 add-port 才能通——这看似更安全,但一旦漏配 SSH,你就连不上服务器了。
常见翻车场景:
- 刚装完 CentOS 7/8,没开
ssh服务就关了控制台,SSH 连不上 - 用
firewall-cmd --remove-service=http却忘了加--permanent,重启后 HTTP 又通了(因为永久配置没删) - 以为
firewall-cmd --list-ports显示空,就认为没开任何端口,其实ssh服务是按名字启用的,不体现在端口列表里
真正关键的不是用哪个工具,而是理解:firewalld 的 zone 和 service 是“策略描述”,iptables 的链和表是“执行路径”。选错工具不会出事,但混淆二者管理边界,一定会让规则失控。
