Linux中的防火墙如何配置？_Linuxiptables与firewalld区别-LINUX-PHP中文网

Linux中的防火墙如何配置？_Linuxiptables与firewalld区别

星夢妙者

发布： 2025-08-15 16:37:01

原创

757人浏览过

linux 防火墙配置主要通过iptables和firewalld实现，前者更底层，后者更易用。1. iptables直接操作内核规则，使用-a添加规则，-d删除规则，-p设置默认策略，需手动保存规则至配置文件；2. firewalld采用区域管理方式，使用--add-port、--add-source等命令添加规则，--permanent设为永久生效，并通过--reload加载配置；3. 性能上iptables略优，但firewalld更便于动态管理；4. 策略选择应基于服务器用途开放必要端口并限制访问来源；5. 配置错误可通过检查状态、规则顺序、抓包分析等方式排查。

Linux中的防火墙如何配置？_Linuxiptables与firewalld区别

Linux防火墙配置，说白了就是设置哪些流量能进，哪些流量不能进。这事儿在Linux上主要靠

iptables

登录后复制

和

firewalld

登录后复制

这两个家伙。简单来说，

iptables

登录后复制

更底层，直接操作内核的

netfilter

登录后复制

模块，而

firewalld

登录后复制

则是

iptables

登录后复制

的一个前端，用起来更方便点。

Linux中的防火墙如何配置？_Linuxiptables与firewalld区别

解决方案

配置Linux防火墙，你可以选择直接使用

iptables

登录后复制

命令，也可以选择用

firewalld

登录后复制

这种更高级的工具。两种方法各有优缺点，看你的需求和习惯。

1. 使用 iptables:

iptables

登录后复制

命令比较底层，功能强大，但是配置起来也比较复杂。它的核心是规则，规则定义了如何处理进出服务器的数据包。

查看当前规则:
```
iptables -L
```
登录后复制
（列出所有规则）
```
iptables -L -n
```
登录后复制
（显示IP地址和端口号，而不是尝试解析它们）
添加规则:
```
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
```
登录后复制
（允许所有来源的TCP流量访问80端口）
```
iptables -A INPUT -s 192.168.1.100 -j ACCEPT
```
登录后复制
（允许来自IP地址 192.168.1.100 的所有流量）
```
iptables -A INPUT -j DROP
```
登录后复制
（丢弃所有其他入站流量，放在最后一条规则）

解释一下：
```
-A
```
登录后复制
表示添加到哪个链，
```
INPUT
```
登录后复制
链处理入站流量，
```
-p
```
登录后复制
指定协议，
```
--dport
```
登录后复制
指定目标端口，
```
-s
```
登录后复制
指定源地址，
```
-j
```
登录后复制
指定动作，
```
ACCEPT
```
登录后复制
允许流量通过，
```
DROP
```
登录后复制
丢弃流量。
删除规则:
```
iptables -D INPUT -p tcp --dport 80 -j ACCEPT
```
登录后复制
（删除刚才添加的规则）

或者，你可以先用
```
iptables -L --line-numbers
```
登录后复制
列出规则的编号，然后用
```
iptables -D INPUT <编号>
```
登录后复制
删除。
保存规则:
```
iptables-save > /etc/iptables/rules.v4
```
登录后复制
(保存 IPv4 规则)
```
ip6tables-save > /etc/iptables/rules.v6
```
登录后复制
(保存 IPv6 规则)

不同Linux发行版保存规则的方式可能不一样，比如CentOS用
```
service iptables save
```
登录后复制
，Ubuntu用
```
iptables-save
```
登录后复制
命令。

加载规则:

iptables-restore < /etc/iptables/rules.v4

登录后复制

(加载 IPv4 规则)

ip6tables-restore < /etc/iptables/rules.v6

登录后复制

(加载 IPv6 规则)

2. 使用 firewalld:

firewalld

登录后复制

是一个动态防火墙管理器，它使用“区域” (zones) 的概念来管理规则。它比直接使用

iptables

登录后复制

更易于配置和管理。

启动、停止和查看状态:
```
systemctl start firewalld
```
登录后复制
（启动）

Starry.ai
AI艺术绘画生成器

35

查看详情
```
systemctl stop firewalld
```
登录后复制
（停止）
```
systemctl status firewalld
```
登录后复制
（查看状态）
查看默认区域:
```
firewall-cmd --get-default-zone
```
登录后复制
查看当前区域的规则:
```
firewall-cmd --list-all --zone=public
```
登录后复制
（查看 public 区域的规则）
添加规则:
```
firewall-cmd --zone=public --add-port=80/tcp --permanent
```
登录后复制
（允许 public 区域的TCP流量访问80端口，
```
--permanent
```
登录后复制
表示永久生效）
```
firewall-cmd --zone=public --add-service=http --permanent
```
登录后复制
（允许 public 区域的 HTTP 服务）
```
firewall-cmd --zone=public --add-source=192.168.1.0/24 --permanent
```
登录后复制
(允许来自 192.168.1.0/24 网段的所有流量)
删除规则:
```
firewall-cmd --zone=public --remove-port=80/tcp --permanent
```
登录后复制
（删除刚才添加的端口规则）
重新加载防火墙:
```
firewall-cmd --reload
```
登录后复制
（重新加载防火墙，使永久规则生效）
列出所有可用服务:
```
firewall-cmd --get-services
```
登录后复制

firewalld

登录后复制

使用 XML 文件来存储配置，这些文件通常位于

/etc/firewalld/

登录后复制

目录下。

代码示例 (iptables)：

#!/bin/bash

# 清空所有规则
iptables -F
iptables -X
iptables -Z

# 设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许 loopback 接口
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允许已建立的连接和相关连接
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 允许 SSH 连接 (22 端口)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许 HTTP 和 HTTPS 连接 (80 和 443 端口)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 保存规则
iptables-save > /etc/iptables/rules.v4

登录后复制

代码示例 (firewalld)：

#!/bin/bash

# 设置默认区域为 public
firewall-cmd --set-default-zone=public

# 允许 SSH 服务
firewall-cmd --zone=public --add-service=ssh --permanent

# 允许 HTTP 和 HTTPS 服务
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent

# 允许特定端口 (例如 8080)
firewall-cmd --zone=public --add-port=8080/tcp --permanent

# 允许来自特定 IP 地址的流量
firewall-cmd --zone=public --add-source=192.168.1.100 --permanent

# 重新加载防火墙
firewall-cmd --reload

登录后复制

iptables和firewalld性能差异？

iptables

登录后复制

直接操作

netfilter

登录后复制

钩子，理论上性能会稍微好一点，因为少了一层抽象。但是，对于大多数应用场景来说，

firewalld

登录后复制

的性能损失可以忽略不计。

firewalld

登录后复制

的优势在于它的动态性和易用性，可以更方便地管理复杂的防火墙规则。如果你的服务器对性能要求非常苛刻，并且你对

iptables

登录后复制

非常熟悉，那么可以选择直接使用

iptables

登录后复制

。否则，

firewalld

登录后复制

是一个更好的选择。

如何选择合适的防火墙策略？

选择防火墙策略，首先要明确服务器的用途。如果是 Web 服务器，就要开放 80 和 443 端口。如果是数据库服务器，就要开放数据库的端口。总的原则是：只开放必要的端口，关闭所有不必要的端口。另外，还要考虑安全性。可以使用白名单策略，只允许特定的 IP 地址访问服务器。还可以使用端口转发，将外部端口映射到内部端口，隐藏服务器的真实端口。

防火墙配置错误的常见问题及排查方法？

防火墙配置错误会导致各种问题，比如无法访问 Web 页面，无法连接数据库等等。排查方法一般是：