Linux防火墙配置指南_Linuxiptables规则与firewalld应用

linux防火墙配置#%#$#%@%@%$#%$#%#%#$%@_20dce2c6fa909a5cd62526615fe2788aiptables与firewalld各有适用场景。1.iptables直接操作内核模块，适用于需要精细控制的用户；2.firewalld提供区域管理和服务定义，适合快速配置。3.选择取决于对网络协议的熟悉程度和配置需求，前者适合有经验的管理员，后者适合新手。4.排查问题时可检查状态、查看规则、抓包分析、跟踪路由或临时禁用防火墙。

Linux防火墙的配置，核心在于控制网络流量的进出，保障系统安全。Iptables和Firewalld是两种常见的防火墙管理工具，选择哪个取决于你的具体需求和偏好。Iptables更加底层，灵活性高，但配置相对复杂；Firewalld则更易于使用，提供了更高级的特性，例如区域管理。

Iptables和Firewalld都是Linux系统中用于配置防火墙规则的工具，但它们的工作方式和抽象程度有所不同。理解它们的区别，能帮助你更好地选择和使用它们。

Iptables规则配置详解

Iptables直接操作内核的netfilter模块，通过定义一系列规则来过滤网络数据包。每条规则都指定了匹配条件和相应的动作。

首先，你需要了解Iptables的几个关键概念：

• 表（Tables）： Iptables使用不同的表来处理不同类型的网络流量。常用的表包括：

  • filter

    登录后复制
    : 用于过滤数据包，这是最常用的表。

  • nat

    登录后复制
    : 用于网络地址转换（NAT）。

  • mangle

    登录后复制
    : 用于修改数据包的头部信息。

  • raw

    登录后复制
    : 用于配置数据包的连接跟踪。
• 链（Chains）： 每个表都包含多个链，链是规则的集合。常用的链包括：

  • INPUT

    登录后复制
    : 处理进入本机的数据包。

  • OUTPUT

    登录后复制
    : 处理从本机发出的数据包。

  • FORWARD

    登录后复制
    : 处理经过本机转发的数据包（仅在启用IP转发时有效）。
• 规则（Rules）： 规则指定了如何处理满足特定条件的数据包。规则由匹配条件和动作组成。

配置Iptables规则的步骤如下：

1. 查看当前规则： 使用

   iptables -L

   登录后复制
   命令查看当前Iptables规则。加上

   -n

   登录后复制
   参数可以以数字形式显示IP地址和端口，避免DNS查找。

   iptables -L -n

   登录后复制

2. 添加规则： 使用

   iptables -A

   登录后复制
   命令添加规则。例如，允许SSH连接：

   iptables -A INPUT -p tcp --dport 22 -j ACCEPT

   登录后复制

   这条命令的含义是：在

   INPUT

   登录后复制
   链中添加一条规则，允许TCP协议（

   -p tcp

   登录后复制
   ）的目标端口为22（

   --dport 22

   登录后复制
   ）的数据包通过（

   -j ACCEPT

   登录后复制
   ）。

3. 删除规则： 删除规则需要先知道规则的编号。使用

   iptables -L --line-numbers

   登录后复制
   命令显示规则及其编号。

   iptables -L --line-numbers

   登录后复制

   然后，使用

   iptables -D

   登录后复制
   命令删除规则。例如，删除编号为3的规则：

   iptables -D INPUT 3

   登录后复制

4. 设置默认策略： 默认策略指定了如何处理没有匹配任何规则的数据包。通常，默认策略设置为拒绝所有流量。

   iptables -P INPUT DROP
   iptables -P OUTPUT ACCEPT
   iptables -P FORWARD DROP

   登录后复制

   注意：在设置默认策略为DROP之前，务必确保已经添加了允许必要流量的规则，否则可能会导致系统无法访问。

5. 保存规则： Iptables规则在系统重启后会丢失。需要使用以下命令保存规则：

   • Debian/Ubuntu:

     iptables-save > /etc/iptables/rules.v4

     登录后复制
   • CentOS/RHEL:

     service iptables save

     登录后复制

Firewalld区域管理详解

Firewalld引入了区域（Zones）的概念，简化了防火墙配置。每个区域都代表一个信任级别，你可以将网络接口分配给不同的区域，并为每个区域配置不同的规则。

Firewalld的关键概念：

• 区域（Zones）： 区域代表不同的信任级别。常用的区域包括：

  • drop

    登录后复制
    : 丢弃所有传入流量，不响应任何请求。

  • block

    登录后复制
    : 拒绝所有传入流量，并返回ICMP错误信息。

  • public

    登录后复制
    : 用于公共网络，只允许特定的传入连接。

  • external

    登录后复制
    : 用于外部网络，启用NAT转发。

  • internal

    登录后复制
    : 用于内部网络，信任度较高。

  • dmz

    登录后复制
    : 用于隔离区，只允许特定的传入连接。

  • work

    登录后复制
    : 用于工作网络，信任度较高。

  • home

    登录后复制
    : 用于家庭网络，信任度最高。

  • trusted

    登录后复制
    : 允许所有流量。
• 服务（Services）： Firewalld预定义了一些常用的服务，例如SSH、HTTP、HTTPS等。你可以直接使用这些服务，而无需手动配置端口。

配置Firewalld的步骤如下：

AppMall应用商店

AI应用商店，提供即时交付、按需付费的人工智能应用服务

56

查看详情

1. 查看当前区域： 使用

   firewall-cmd --get-default-zone

   登录后复制
   命令查看默认区域。使用

   firewall-cmd --get-active-zones

   登录后复制
   命令查看当前激活的区域及其关联的网络接口。

   firewall-cmd --get-default-zone
   firewall-cmd --get-active-zones

   登录后复制

2. 添加服务： 使用

   firewall-cmd --add-service

   登录后复制
   命令添加服务。例如，允许SSH连接：

   firewall-cmd --add-service=ssh --permanent

   登录后复制

   这条命令的含义是：在当前区域中添加SSH服务，

   --permanent

   登录后复制
   参数表示永久生效。

3. 添加端口： 使用

   firewall-cmd --add-port

   登录后复制
   命令添加端口。例如，允许8080端口的TCP流量：

   firewall-cmd --add-port=8080/tcp --permanent

   登录后复制

4. 移除服务或端口： 使用

   firewall-cmd --remove-service

   登录后复制
   或

   firewall-cmd --remove-port

   登录后复制
   命令移除服务或端口。

   firewall-cmd --remove-service=ssh --permanent
   firewall-cmd --remove-port=8080/tcp --permanent

   登录后复制

5. 修改区域： 使用

   firewall-cmd --set-default-zone

   登录后复制
   命令修改默认区域。

   firewall-cmd --set-default-zone=public

   登录后复制

6. 重新加载配置： 在修改配置后，需要使用

   firewall-cmd --reload

   登录后复制
   命令重新加载配置。

   firewall-cmd --reload

   登录后复制

Iptables与Firewalld的选择：哪个更适合你？

Iptables和Firewalld各有优缺点。Iptables更加底层，灵活性高，但配置相对复杂，需要手动编写规则。Firewalld则更易于使用，提供了更高级的特性，例如区域管理和服务定义。

• 如果你需要精细的控制，对网络协议和数据包结构有深入的了解，并且喜欢手动配置每一条规则，那么Iptables可能更适合你。
• 如果你希望快速配置防火墙，并且对网络协议的细节不太关心，那么Firewalld可能更适合你。

总的来说，Firewalld更适合新手，而Iptables更适合有经验的系统管理员。

如何排查防火墙配置问题？

防火墙配置错误可能会导致各种网络连接问题。以下是一些排查防火墙配置问题的技巧：

1. 检查防火墙状态： 使用

   systemctl status firewalld

   登录后复制
   命令检查Firewalld的状态。使用

   service iptables status

   登录后复制
   命令检查Iptables的状态。

2. 查看防火墙规则： 使用

   iptables -L -n

   登录后复制
   命令查看Iptables规则。使用

   firewall-cmd --list-all

   登录后复制
   命令查看Firewalld规则。

3. 使用

   tcpdump

   登录后复制
   抓包： 使用

   tcpdump

   登录后复制
   命令抓包，分析网络流量。例如，抓取80端口的流量：

   tcpdump -i eth0 port 80

   登录后复制

4. 使用

   traceroute

   登录后复制
   跟踪路由： 使用

   traceroute

   登录后复制
   命令跟踪数据包的路由，查看数据包是否被防火墙阻止。

5. 临时禁用防火墙： 临时禁用防火墙，测试网络连接是否正常。

   • Firewalld:

     systemctl stop firewalld

     登录后复制
   • Iptables:

     service iptables stop

     登录后复制

   注意：在禁用防火墙后，务必尽快重新启用，以保障系统安全。

以上就是Linux防火墙配置指南_Linuxiptables规则与firewalld应用的详细内容，更多请关注php中文网其它相关文章！