信息发布→ 登录 注册 退出

Linux防火墙如何设置_iptables与firewalld规则管理详细步骤讲解【指导】

发布时间:2025-12-21

点击量:
Linux防火墙设置需先确认使用iptables或firewalld(二者不兼容),再按各自规则管理:iptables清空、设默认策略、放行基础及业务端口并持久化;firewalld则通过zone、service/port、rich rule配置并重载生效。

Linux防火墙设置核心在于明确目标:控制进出本机的数据流。目前主流方案是 iptables(传统命令行工具)和 firewalld(现代动态管理服务),二者不兼容,不能同时生效。实际操作前务必确认当前系统使用的是哪一种。

确认当前防火墙类型

执行以下命令快速判断:

查看 firewalld 状态systemctl is-active firewalld(返回 active 表示启用)

查看 iptables 服务状态systemctl is-active iptables(常见于 CentOS 6/7 早期;RHEL 8+ 默认已弃用)

检查规则是否加载iptables -L -nfirewall-cmd --list-all

⚠️ 注意:若 firewalld 正在运行,iptables 命令可能显示空规则或仅含默认 ACCEPT,因为 firewalld 会接管 netfilter 规则并隐藏底层细节。

iptables 规则管理实操步骤

适用于 CentOS 6/7、Debian/Ubuntu(未启用 ufw 或 nftables 的旧环境)。

  • 清空现有规则:避免冲突,先重置
    iptables -F(清空 filter 表所有链)
    iptables -X(删除用户自定义链)
    iptables -t nat -F(如需清空地址转换规则)
  • 设置默认策略:推荐“白名单”思路,先堵后放
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
  • 放行基础流量
    本地回环:iptables -A INPUT -i lo -j ACCEPT
    已建立连接:iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    ICMP(可选):iptables -A INPUT -p icmp -j ACCEPT
  • 开放业务端口
    SSH:iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    HTTP/HTTPS:iptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPT
    其他端口按需添加,注意顺序——拒绝规则要靠前,允许规则靠后
  • 保存并持久化
    CentOS/RHEL:service iptables saveiptables-save > /etc/sysconfig/iptables
    Debian/Ubuntu:iptables-save > /etc/iptables/rules.v4,再配置开机加载

firewalld 规则管理标准流程

适用于 RHEL 8+/CentOS 8+、Fedora、多数新版发行版,默认启用且更易维护。

  • 启动并启用服务
    systemctl start firewalld
    systemctl enable firewalld
  • 切换区域(zone):不同 zone 对应不同信任等级
    firewall-cmd --set-default-zone=public(常用)
    firewall-cmd --get-active-zones 查看当前生效 zone
  • 开放端口或服务
    直接开 TCP 端口:firewall-cmd --permanent --add-port=8080/tcp
    启用预定义服务(更安全):firewall-cmd --permanent --add-service=http
    临时生效加 --reload,永久生效必须加 --permanent
  • 封禁 IP 或网段
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject'
  • 重载配置firewall-cmd --reload(立即生效,不中断已有连接)

关键注意事项与避坑提示

规则顺序决定匹配结果——iptables 从上到下逐条匹配,一旦命中即停止;firewalld 的 rich rule 也遵循类似逻辑。

不要在远程 SSH 会话中直接设 iptables -P INPUT DROP 后忘记放行 22 端口,否则会锁死连接。

firewalld 不是 iptables 的图形界面,它是独立服务,底层可能使用 nftables(RHEL 8+ 默认),但对用户屏蔽了复杂性。

生产环境建议先测试规则,再保存/重载;可搭配 tcpdumpjournalctl -u firewalld 排查异常。

基本上就这些。

标签:# tcpdump  # 但对  # 可选  # 自定义  # 它是  # 已有  # 加载  # 的是  # 不兼容  # 适用于  # 清空  # debian  # ssh  # linux  # https  # http  # input  # default  # public  # Filter  # 工具  # ubuntu  # 端口  # 防火墙  # centos  

上一篇:Linux系统如何加固_操作步骤详解提升实战能力【指导】

下一篇:Linux进程上下文切换高怎么办_性能瓶颈分析方法【教程】

返回
在线客服
服务热线

服务热线

4008888355

微信咨询
二维码
返回顶部
×二维码

截屏,微信识别二维码

打开微信

微信号已复制,请打开微信添加咨询详情!