如何使用防火牆或Iptables在Linux中設置防火牆？-linux運維-PHP中文網

首頁

運維

linux運維

如何使用防火牆或Iptables在Linux中設置防火牆？

Emily Anne Brown

Mar 12, 2025 pm 06:58 PM

使用防火牆或Iptables在Linux中設置防火牆

使用firewalld或iptables在Linux中設置防火牆，由於其建築差異而涉及不同的方法。 firewalld是一個動態的防火牆守護程序，提供了用於管理防火牆規則的用戶友好界面，而iptables是一個命令行實用程序，可以直接操縱內核的NetFilter框架。

使用Firewalld：

安裝：確保安裝firewalld 。在大多數發行版中，這是使用軟件包管理器完成的（例如，在fedora/centos/rhel上dnf install firewalld apt install firewalld install firewalld。
啟動並啟用FireWalld：使用systemctl start firewalld ，並使其能夠使用systemctl enable firewalld 。
基本配置： firewalld使用“區域”來定義不同的網絡上下文（例如，“公共”，“內部”，“ DMZ”）。每個區域都有一組默認規則。您可以使用firewall-cmd --get-active-zones 。要將服務（例如SSH（端口22））添加到默認區域（通常是“公共”），請使用firewall-cmd --permanent --add-service=ssh 。要使更改永久，請使用--permanent標誌。用firewall-cmd --reload以應用更改。
高級配置：對於更詳細的控制，您可以使用firewall-cmd --permanent --add-port=80/tcp添加特定端口（用於HTTP）或使用firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept' ）

使用iptables：

安裝： iptables通常默認包含在大多數Linux發行版中。
基本配置： iptables使用鏈（例如， INPUT ， OUTPUT ， FORWARD ）來管理規則。每個規則指定源/目標IP地址，端口，協議和操作（接受，刪除，拒絕）。例如，為了允許SSH連接： iptables -A INPUT -p tcp --dport 22 -j ACCEPT 。
保存規則： iptables規則在重新啟動過程中並不持續。您需要使用腳本或諸如iptables-save之類的實用程序來保存它們，並在啟動時使用啟動腳本加載它們。確切的方法取決於您的分佈。
高級配置： iptables提供了極為細粒度的控件，允許具有各種匹配條件和自定義鏈的複雜規則集。但是，這需要對網絡和iptables語法有深入的了解。

防火牆和iptables之間的關鍵差異

主要區別在於他們的防火牆管理方法。 firewalld提供了在iptables頂部構建的更高級別，用戶友好的接口。它簡化了常見的防火牆任務，使管理區域，服務和端口更容易。另一方面， iptables對NetFilter框架提供了直接的低級控制，提供了更大的靈活性，但需要更多的技術專業知識。

這是一個總結關鍵差異的表：

特徵	Firewalld	iptables
介面	具有用戶友好選項的命令行工具	僅命令行，複雜的語法
配置	區域，服務，港口，豐富的規則	鏈條，具有特定匹配標準的規則
持久性	內置的持久機制	需要在啟動時手動節省和加載
複雜	更容易學習和使用	陡峭的學習曲線，更複雜
靈活性	不如iptables靈活	高度靈活，允許複雜的規則
動態更新	支持動態更新	需要手動更新

配置特定的防火牆規則以允許/拒絕特定端口或服務

使用Firewalld：

要允許特定端口（例如，端口80上的http）：

 <code class="bash">firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload</code>

拒絕特定端口（例如，端口21上的FTP）：

對於firewalld而言，這並不那麼簡單。您可能需要創建一個自定義區域或使用富裕規則來精確實現這一目標。通常， firewalld旨在默認允許並明確拒絕。

允許特定服務（例如，SSH）：

 <code class="bash">firewall-cmd --permanent --add-service=ssh firewall-cmd --reload</code>

使用iptables：

要允許特定端口（例如，端口80上的http）：

 <code class="bash">iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT # If you want to allow outgoing traffic on port 80 as well. service iptables save # Save the rules (method varies by distribution)</code>

拒絕特定端口（例如，端口21上的FTP）：

 <code class="bash">iptables -A INPUT -p tcp --dport 21 -j DROP service iptables save # Save the rules (method varies by distribution)</code>

使用防火牆保護Linux系統的最佳實踐

無論您是使用firewalld還是iptables ，都遵循以下最佳實踐：

特權最少的原則：僅允許必要的流量。默認情況下拒絕所有內容，並明確允許特定的端口和服務。
定期更新：通過最新的安全補丁保持防火牆和操作系統更新。
日誌分析：定期查看防火牆日誌以識別可疑活動。
輸入鏈焦點：密切注意INPUT鏈，因為這控制了傳入的連接。
StateFull防火牆：利用狀態檢查（ firewalld和iptables支持此）來跟踪連接並允許返回流量。
除非必要，否則請避免開放端口：最大程度地減少暴露於Internet的開放端口的數量。
使用強密碼策略：通過使用強密碼並定期更新系統來保護系統。
定期審查規則：定期審查您的防火牆規則，以確保它們仍然適當有效。
使用單獨的DMZ：如果您需要向Internet展示服務，請考慮使用單獨的DMZ（非軍事區）將這些服務與內部網絡隔離。
考慮入侵檢測/預防系統（IDS/IP）：將防火牆與IDS/IP相結合，以增加安全性。

請記住，將防火牆規則始終在受控環境中進行測試，然後再將其部署到生產系統中。未正確配置的防火牆規則可能使您的系統無法訪問。

以上是如何使用防火牆或Iptables在Linux中設置防火牆？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

Linux：看看其基本結構Apr 16, 2025 am 12:01 AM

Linux的基本結構包括內核、文件系統和Shell。 1)內核管理硬件資源，使用uname-r查看版本。 2)EXT4文件系統支持大文件和日誌，使用mkfs.ext4創建。 3)Shell如Bash提供命令行交互，使用ls-l列出文件。

Linux操作：系統管理和維護Apr 15, 2025 am 12:10 AM

Linux系統管理和維護的關鍵步驟包括：1)掌握基礎知識，如文件系統結構和用戶管理；2)進行系統監控與資源管理，使用top、htop等工具；3)利用系統日誌進行故障排查，借助journalctl等工具；4)編寫自動化腳本和任務調度，使用cron工具；5)實施安全管理與防護，通過iptables配置防火牆；6)進行性能優化與最佳實踐，調整內核參數和養成良好習慣。

了解Linux的維護模式：必需品Apr 14, 2025 am 12:04 AM

Linux維護模式通過在啟動時添加init=/bin/bash或single參數進入。 1.進入維護模式：編輯GRUB菜單，添加啟動參數。 2.重新掛載文件系統為讀寫模式：mount-oremount,rw/。 3.修復文件系統：使用fsck命令，如fsck/dev/sda1。4.備份數據並謹慎操作，避免數據丟失。

Debian如何提升Hadoop數據處理速度Apr 13, 2025 am 11:54 AM

本文探討如何在Debian系統上提升Hadoop數據處理效率。優化策略涵蓋硬件升級、操作系統參數調整、Hadoop配置修改以及高效算法和工具的運用。一、硬件資源強化確保所有節點硬件配置一致，尤其關注CPU、內存和網絡設備性能。選擇高性能硬件組件對於提升整體處理速度至關重要。二、操作系統調優文件描述符和網絡連接數:修改/etc/security/limits.conf文件，增加系統允許同時打開的文件描述符和網絡連接數上限。 JVM參數調整:在hadoop-env.sh文件中調整

Debian syslog如何學習Apr 13, 2025 am 11:51 AM

本指南將指導您學習如何在Debian系統中使用Syslog。 Syslog是Linux系統中用於記錄系統和應用程序日誌消息的關鍵服務，它幫助管理員監控和分析系統活動，從而快速識別並解決問題。一、Syslog基礎知識Syslog的核心功能包括：集中收集和管理日誌消息；支持多種日誌輸出格式和目標位置（例如文件或網絡）；提供實時日誌查看和過濾功能。二、安裝和配置Syslog(使用Rsyslog)Debian系統默認使用Rsyslog。您可以通過以下命令安裝：sudoaptupdatesud

Debian中Hadoop版本怎麼選Apr 13, 2025 am 11:48 AM

選擇適合Debian系統的Hadoop版本，需要綜合考慮以下幾個關鍵因素：一、穩定性與長期支持：對於追求穩定性和安全性的用戶，建議選擇Debian穩定版，例如Debian11(Bullseye)。該版本經過充分測試，擁有長達五年的支持週期，能夠確保系統穩定運行。二、軟件包更新速度：如果您需要使用最新的Hadoop功能和特性，則可以考慮Debian的不穩定版(Sid)。但需注意，不穩定版可能存在兼容性問題和穩定性風險。三、社區支持與資源：Debian擁有龐大的社區支持，可以提供豐富的文檔和

Debian上TigerVNC共享文件方法Apr 13, 2025 am 11:45 AM

本文介紹如何在Debian系統上使用TigerVNC共享文件。你需要先安裝TigerVNC服務器，然後進行配置。一、安裝TigerVNC服務器打開終端。更新軟件包列表：sudoaptupdate安裝TigerVNC服務器：sudoaptinstalltigervnc-standalone-servertigervnc-common二、配置TigerVNC服務器設置VNC服務器密碼：vncpasswd啟動VNC服務器：vncserver:1-localhostno

Debian郵件服務器防火牆配置技巧Apr 13, 2025 am 11:42 AM

配置Debian郵件服務器的防火牆是確保服務器安全性的重要步驟。以下是幾種常用的防火牆配置方法，包括iptables和firewalld的使用。使用iptables配置防火牆安裝iptables（如果尚未安裝）：sudoapt-getupdatesudoapt-getinstalliptables查看當前iptables規則：sudoiptables-L配置

See all articles