Linux防火墙对比：iptables与firewalld详解

文章小白一枚，正在不断学习积累知识，现将学习到的知识记录一下，也是将我的所得分享给大家！而今天这篇文章《Linux防火墙配置详解：iptables与firewalld对比》带大家来了解一下##content_title##，希望对大家的知识积累有所帮助，从而弥补自己的不足，助力实战开发！

Linux防火墙配置主要通过iptables和firewalld实现，前者更底层，后者更易用。1. iptables直接操作内核规则，使用-A添加规则，-D删除规则，-P设置默认策略，需手动保存规则至配置文件；2. firewalld采用区域管理方式，使用--add-port、--add-source等命令添加规则，--permanent设为永久生效，并通过--reload加载配置；3. 性能上iptables略优，但firewalld更便于动态管理；4. 策略选择应基于服务器用途开放必要端口并限制访问来源；5. 配置错误可通过检查状态、规则顺序、抓包分析等方式排查。

Linux防火墙配置，说白了就是设置哪些流量能进，哪些流量不能进。这事儿在Linux上主要靠 iptables 和 firewalld 这两个家伙。简单来说，iptables 更底层，直接操作内核的 netfilter 模块，而 firewalld 则是 iptables 的一个前端，用起来更方便点。

解决方案

配置Linux防火墙，你可以选择直接使用 iptables 命令，也可以选择用 firewalld 这种更高级的工具。两种方法各有优缺点，看你的需求和习惯。

1. 使用 iptables:

iptables 命令比较底层，功能强大，但是配置起来也比较复杂。它的核心是规则，规则定义了如何处理进出服务器的数据包。

• 查看当前规则:

  iptables -L （列出所有规则）

  iptables -L -n （显示IP地址和端口号，而不是尝试解析它们）

• 添加规则:

  iptables -A INPUT -p tcp --dport 80 -j ACCEPT （允许所有来源的TCP流量访问80端口）

  iptables -A INPUT -s 192.168.1.100 -j ACCEPT （允许来自IP地址 192.168.1.100 的所有流量）

  iptables -A INPUT -j DROP （丢弃所有其他入站流量，放在最后一条规则）

  解释一下：-A 表示添加到哪个链，INPUT 链处理入站流量，-p 指定协议，--dport 指定目标端口，-s 指定源地址，-j 指定动作，ACCEPT 允许流量通过，DROP 丢弃流量。

• 删除规则:

  iptables -D INPUT -p tcp --dport 80 -j ACCEPT （删除刚才添加的规则）

  或者，你可以先用 iptables -L --line-numbers 列出规则的编号，然后用 iptables -D INPUT <编号> 删除。

• 保存规则:

  iptables-save > /etc/iptables/rules.v4 (保存 IPv4 规则)

  ip6tables-save > /etc/iptables/rules.v6 (保存 IPv6 规则)

  不同Linux发行版保存规则的方式可能不一样，比如CentOS用 service iptables save，Ubuntu用 iptables-save 命令。

• 加载规则:

  iptables-restore < /etc/iptables/rules.v4 (加载 IPv4 规则)

  ip6tables-restore < /etc/iptables/rules.v6 (加载 IPv6 规则)

2. 使用 firewalld:

firewalld 是一个动态防火墙管理器，它使用“区域” (zones) 的概念来管理规则。 它比直接使用 iptables 更易于配置和管理。

• 启动、停止和查看状态:

  systemctl start firewalld （启动）

  systemctl stop firewalld （停止）

  systemctl status firewalld （查看状态）

• 查看默认区域:

  firewall-cmd --get-default-zone

• 查看当前区域的规则:

  firewall-cmd --list-all --zone=public （查看 public 区域的规则）

• 添加规则:

  firewall-cmd --zone=public --add-port=80/tcp --permanent （允许 public 区域的TCP流量访问80端口，--permanent 表示永久生效）

  firewall-cmd --zone=public --add-service=http --permanent （允许 public 区域的 HTTP 服务）

  firewall-cmd --zone=public --add-source=192.168.1.0/24 --permanent (允许来自 192.168.1.0/24 网段的所有流量)

• 删除规则:

  firewall-cmd --zone=public --remove-port=80/tcp --permanent （删除刚才添加的端口规则）

• 重新加载防火墙:

  firewall-cmd --reload （重新加载防火墙，使永久规则生效）

• 列出所有可用服务:

  firewall-cmd --get-services

firewalld 使用 XML 文件来存储配置，这些文件通常位于 /etc/firewalld/ 目录下。

代码示例 (iptables)：

#!/bin/bash

# 清空所有规则
iptables -F
iptables -X
iptables -Z

# 设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许 loopback 接口
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允许已建立的连接和相关连接
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 允许 SSH 连接 (22 端口)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许 HTTP 和 HTTPS 连接 (80 和 443 端口)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 保存规则
iptables-save > /etc/iptables/rules.v4

代码示例 (firewalld)：

#!/bin/bash

# 设置默认区域为 public
firewall-cmd --set-default-zone=public

# 允许 SSH 服务
firewall-cmd --zone=public --add-service=ssh --permanent

# 允许 HTTP 和 HTTPS 服务
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent

# 允许特定端口 (例如 8080)
firewall-cmd --zone=public --add-port=8080/tcp --permanent

# 允许来自特定 IP 地址的流量
firewall-cmd --zone=public --add-source=192.168.1.100 --permanent

# 重新加载防火墙
firewall-cmd --reload

iptables和firewalld性能差异？

iptables 直接操作 netfilter 钩子，理论上性能会稍微好一点，因为少了一层抽象。但是，对于大多数应用场景来说，firewalld 的性能损失可以忽略不计。firewalld 的优势在于它的动态性和易用性，可以更方便地管理复杂的防火墙规则。如果你的服务器对性能要求非常苛刻，并且你对 iptables 非常熟悉，那么可以选择直接使用 iptables。否则，firewalld 是一个更好的选择。

如何选择合适的防火墙策略？

选择防火墙策略，首先要明确服务器的用途。如果是 Web 服务器，就要开放 80 和 443 端口。如果是数据库服务器，就要开放数据库的端口。总的原则是：只开放必要的端口，关闭所有不必要的端口。 另外，还要考虑安全性。 可以使用白名单策略，只允许特定的 IP 地址访问服务器。 还可以使用端口转发，将外部端口映射到内部端口，隐藏服务器的真实端口。

防火墙配置错误的常见问题及排查方法？

防火墙配置错误会导致各种问题，比如无法访问 Web 页面，无法连接数据库等等。排查方法一般是：

1. 查看防火墙状态: 确认防火墙是否正在运行。
2. 查看防火墙规则: 确认规则是否正确配置。
3. 使用 tcpdump 或 wireshark 抓包: 查看数据包是否被防火墙拦截。
4. 临时关闭防火墙: 如果关闭防火墙后问题解决，那么问题肯定出在防火墙配置上。

另外，还要注意规则的顺序。iptables 按照规则的顺序进行匹配，如果前面的规则已经匹配，后面的规则就不会生效。firewalld 也有类似的问题，要注意区域的优先级。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~