Linux防火墙配置实战_Linux iptables与firewalld设置教程

在Linux服务器安全中，防火墙配置至关重要，其核心在于设置数据包过滤规则。本文深入探讨了两种主流防火墙工具：iptables和firewalld。iptables直接操作Linux内核Netfilter框架，提供强大的底层控制，但配置相对复杂；firewalld则构建于iptables之上，通过“区域”概念简化管理，更易上手。本文详细讲解了iptables和firewalld的配置方法，包括规则添加、端口开放、服务允许等，并对比了两者的优缺点，帮助读者选择合适的工具。此外，还强调了规则持久化的重要性，以及默认拒绝、最小权限、日志记录、连接速率限制、IPv6考虑和定期审查等防火墙配置的最佳实践，旨在提升服务器的整体安全性与灵活性，避免网络安全风险。

Linux防火墙配置的核心在于设定规则，主要使用iptables和firewalld两个工具。1. iptables直接操作内核Netfilter框架，规则链式排列，功能强大但复杂；firewalld则提供更高层的动态管理接口，通过区域（zones）简化配置。2. 配置iptables时需按顺序添加规则，确保SSH等关键服务开放，否则可能导致自身被锁；规则保存依赖netfilter-persistent或iptables-services等机制。3. firewalld通过--permanent参数实现规则持久化，并通过--reload应用更改，管理更便捷。4. 选择工具时，firewalld适合现代系统，iptables适合需底层控制的场景。5. 防火墙最佳实践包括默认拒绝、最小权限、日志记录、连接速率限制、IPv6考虑及定期审查，确保安全性和灵活性。

配置Linux防火墙，本质上就是在为你的服务器网络进出数据设定一套规则。这事儿听起来好像有点复杂，但说白了，就是决定哪些数据包能进来、哪些能出去，以及哪些应该被直接丢弃。我们通常会用到两个核心工具：底层的iptables和更高层抽象的firewalld。理解它们的工作方式，并能灵活运用，是确保服务器安全的第一步，也是最重要的一步。毕竟，网络世界里，裸奔可不是什么好主意。

解决方案

Linux防火墙的配置，无论是基于传统的iptables还是现代的firewalld，其核心都是围绕“规则”展开。iptables直接操作内核的Netfilter框架，规则是链式的，非常底层且强大。firewalld则在其之上提供了一个更友好的动态管理接口，通过区域（zones）的概念来简化配置。

使用 iptables 配置防火墙

iptables 的规则是按顺序处理的，一旦数据包匹配到一条规则，通常就会执行相应的动作（ACCEPT、DROP、REJECT等）。它有INPUT、OUTPUT、FORWARD等链，分别对应流入、流出和转发的数据包。

• 查看当前规则：sudo iptables -L -n -v
• 允许SSH（22端口）连接：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
• 允许HTTP/HTTPS（80/443端口）连接：sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
• 允许已建立的连接及相关连接通过：sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
• 拒绝所有其他传入连接（默认策略）：sudo iptables -P INPUT DROP 这步操作前务必确保允许了SSH，否则你可能会把自己锁在外面！
• 保存规则（不同系统有不同方法，例如使用netfilter-persistent）：sudo apt-get install netfilter-persistent (Debian/Ubuntu) sudo systemctl enable netfilter-persistentsudo netfilter-persistent save 或者对于CentOS/RHEL 7+，安装iptables-services并启用： sudo yum install iptables-servicessudo systemctl enable iptablessudo systemctl start iptablessudo iptables-save > /etc/sysconfig/iptables

使用 firewalld 配置防火墙

firewalld 是Red Hat系发行版（如CentOS 7+、Fedora）的默认防火墙管理工具。它引入了“区域”（zones）的概念，你可以根据网络接口或源IP将连接分配到不同的区域，每个区域有自己的规则集。

• 启动和启用 firewalld：sudo systemctl start firewalldsudo systemctl enable firewalld
• 查看当前状态和默认区域：sudo firewall-cmd --statesudo firewall-cmd --get-default-zone
• 查看特定区域（例如public）的规则：sudo firewall-cmd --zone=public --list-all
• 允许SSH服务（永久生效）：sudo firewall-cmd --zone=public --add-service=ssh --permanent
• 允许HTTP服务（永久生效）：sudo firewall-cmd --zone=public --add-service=http --permanent
• 允许HTTPS服务（永久生效）：sudo firewall-cmd --zone=public --add-service=https --permanent
• 允许特定端口（例如8080/tcp）：sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
• 重新加载 firewalld 使永久规则生效：sudo firewall-cmd --reload
• 移除服务或端口：sudo firewall-cmd --zone=public --remove-service=ssh --permanentsudo firewall-cmd --zone=public --remove-port=8080/tcp --permanentsudo firewall-cmd --reload

iptables和firewalld：我应该选择哪一个？

这确实是个老生常谈的问题，但它背后的考量至今仍有价值。说实话，我个人觉得，对于大多数现代Linux发行版，尤其是基于RHEL/CentOS的系统，firewalld是更推荐的选择。它提供了一种更抽象、更动态的管理方式，这在云环境和容器化日益普及的今天显得尤为重要。

firewalld的“区域”概念是个亮点。你可以根据网络接口（比如eth0连接公网，eth1连接内网）或者源IP地址，把它们划分到不同的安全区域，比如public（公共）、internal（内部）、trusted（信任）等等。每个区域有自己独立的规则集。这样一来，管理起来就清晰多了，你不需要像iptables那样，面对一长串扁平化的规则列表。而且，firewalld支持运行时动态修改规则，而不会中断现有连接，这是iptables在不借助额外脚本或工具时很难做到的。

但话说回来，iptables依然是Linux防火墙的基石。firewalld本身就是基于iptables（以及nftables）实现的。如果你需要非常精细、底层的控制，或者在一些资源受限、追求极致性能的环境（比如嵌入式设备），iptables的直接操作能力是无可替代的。它的语法虽然复杂，但一旦掌握，你几乎可以实现任何你想要的过滤逻辑，包括复杂的包状态跟踪、NAT转换等等。

我的建议是：如果你是新手，或者主要使用RHEL/CentOS/Fedora这类系统，直接上手firewalld会让你更舒服。它的命令行工具firewall-cmd设计得也比较人性化。但如果你想深入理解Linux网络栈，或者在一些特殊场景下需要极致的灵活性，那么投入时间学习iptables绝对是值得的，毕竟那才是真正的“硬核”操作。很多时候，出了问题，你可能还得回过头来用iptables -L看看底层到底发生了什么。

如何确保防火墙配置在系统重启后依然生效？

这是一个非常关键的问题，我记得有一次，就是因为忘记了这一步，重启服务器后所有服务都对外暴露了，那真是惊出一身冷汗。无论是iptables还是firewalld，都需要特定的机制来确保规则的持久化。

对于iptables，你直接在命令行输入的规则，默认只在当前运行时生效。系统一重启，这些规则就烟消云散了。为了让它们“活下来”，你需要把它们保存到一个文件里，并在系统启动时重新加载。

• 基于Debian/Ubuntu的系统，通常会使用netfilter-persistent这个服务。你安装它之后，它会自动接管iptables规则的保存和加载。 sudo apt install netfilter-persistentsudo systemctl enable netfilter-persistent 当你配置好新的iptables规则后，执行sudo netfilter-persistent save，它就会把当前内存中的规则写入到/etc/iptables/rules.v4和/etc/iptables/rules.v6文件中。系统启动时，这个服务会自动读取这些文件并加载规则。
• 基于Red Hat/CentOS的系统，过去常用iptables-services包。 sudo yum install iptables-servicessudo systemctl enable iptablessudo systemctl start iptables 配置完规则后，使用sudo iptables-save > /etc/sysconfig/iptables来保存IPv4规则（IPv6则是ip6tables-save > /etc/sysconfig/ip6tables）。系统启动时，iptables服务会自动加载这些文件。

对于firewalld，情况就简单多了，它天生就是为持久化设计的。当你使用firewall-cmd命令时，默认的操作是针对“运行时”（runtime）的规则，这些规则在firewalld服务重启或系统重启后会丢失。要让规则永久生效，你只需要在命令后面加上--permanent参数。

例如： sudo firewall-cmd --zone=public --add-service=http --permanent

这条命令会将HTTP服务的允许规则写入firewalld的永久配置中（通常在/etc/firewalld/zones/public.xml等文件里）。但请注意，--permanent参数只是把规则写进了文件，并没有立即应用到当前的运行状态。要让这些永久规则立即生效，你需要执行： sudo firewall-cmd --reload 这个命令会重新加载firewalld的配置，将永久规则应用到运行时，并且不会中断现有连接，这非常方便。所以，firewalld的持久化管理比iptables要省心不少。

防火墙配置的最佳实践与安全考量

配置防火墙，可不仅仅是开放几个端口那么简单，它更像是一门艺术，需要深思熟虑。这块儿说起来简单，做起来嘛，往往因为疏忽或缺乏整体安全观而留下隐患。

1. 默认拒绝（Default Deny）原则： 这是防火墙配置的黄金法则。意思是：除非你明确允许，否则一切流量都应该被拒绝。iptables中可以通过设置链的默认策略为DROP来实现（iptables -P INPUT DROP）。firewalld的区域也默认是拒绝未明确允许的服务的。采用这个原则，即使你不小心漏掉了一些规则，系统也依然是相对安全的，而不是默认开放。

2. 最小权限原则： 不要为了方便而开放过多的端口或服务。比如，如果你的SSH服务只应该从你办公室的IP地址访问，那就明确指定源IP： sudo iptables -A INPUT -s 203.0.113.42 -p tcp --dport 22 -j ACCEPTsudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="203.0.113.42" port port="22" protocol="tcp" accept' --permanent 只允许必要的服务从必要的源访问，大大缩小了攻击面。

3. 启用日志记录： 防火墙不仅是防御工具，也是审计工具。记录被拒绝的连接，可以帮助你发现潜在的攻击尝试，或者排查规则配置错误。 iptables可以通过LOG目标来实现： sudo iptables -A INPUT -j LOG --log-prefix "IPTABLES_DROP: " --log-level 7sudo iptables -A INPUT -j DROP 这样，所有被这条规则拒绝的流量都会记录到系统日志中（通常是/var/log/messages或syslog）。定期检查这些日志，你会发现很多有趣的东西。

4. 限制连接速率（Rate Limiting）： 对于像SSH这样的服务，暴力破解是常见的攻击手段。你可以限制在一定时间内来自同一IP的连接尝试次数。 sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --setsudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP 这条iptables规则的意思是：如果一个IP在60秒内尝试连接SSH超过4次，就把它丢弃。这能有效缓解暴力破解攻击。

5. 考虑IPv6： 别忘了IPv6！很多系统现在都是双栈的，如果你的防火墙只配置了IPv4规则，那么IPv6的流量可能就畅通无阻了。iptables对应的IPv6工具是ip6tables，而firewalld则会同时管理IPv4和IPv6的规则。

6. 定期审查和更新： 服务器环境和服务会不断变化，防火墙规则也应该随之更新。新增的服务需要开放端口，不再使用的服务应该关闭端口。定期审查你的防火墙规则，确保它们仍然符合你的安全策略，并且没有多余的、不必要的开放。

防火墙配置不是一劳永逸的事情，它是一个持续的过程。保持警惕，并不断学习新的安全实践，才能真正保护好你的系统。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Linux防火墙配置实战_Linux iptables与firewalld设置教程》文章吧，也可关注golang学习网公众号了解相关技术文章。