Linux防火墙配置与规则设置详解

在Linux系统中，配置防火墙是保障服务器安全的重要步骤。首先需要确认使用的防火墙工具，常见的有iptables和firewalld，CentOS/RHEL默认使用firewalld，而Ubuntu则倾向于ufw或iptables。使用firewalld时，可以通过命令查看状态和默认区域，并开放指定端口如80/tcp、443/tcp，添加允许的服务如ssh。使用iptables时，可以添加允许SSH连接的规则，并拒绝所有其他入站连接，注意规则顺序和保存方法。配置防火墙时需注意保持SSH通道不中断，定期审查规则，-customize规则，并启用日志记录以便排查问题。

要设置Linux防火墙规则，首先确认使用的工具，再根据工具配置相应规则。一、确认使用的防火墙工具：通过systemctl status firewalld或systemctl status iptables判断系统使用firewalld还是iptables，CentOS/RHEL默认用firewalld，Ubuntu倾向用ufw或iptables。二、使用firewalld配置基本规则：1.查看状态和默认区域，用firewall-cmd --state和firewall-cmd --get-default-zone，必要时更改默认区域；2.开放指定端口如80/tcp、443/tcp，使用firewall-cmd --permanent --add-port=port/tcp并重载配置；3.添加允许的服务如ssh，使用firewall-cmd --permanent --add-service=service_name。三、使用iptables配置规则：1.添加允许SSH的规则iptables -A INPUT -p tcp --dport 22 -j ACCEPT；2.拒绝所有其他入站连接iptables -A INPUT -j DROP，注意规则顺序；3.保存规则，在CentOS执行service iptables save，Ubuntu则用iptables-save > /etc/iptables/rules.v4。四、注意事项与建议：测试规则前保持SSH通道不中断；定期审查规则列表；自定义规则而非依赖默认配置；启用日志记录帮助排查问题，例如添加iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: "。

在Linux系统中，配置防火墙是保障服务器安全的重要步骤。防火墙可以控制进出系统的网络流量，防止未经授权的访问。常用的工具有iptables和更现代的firewalld，不同发行版可能默认使用其中一个。下面从实际操作角度出发，分几个关键点来讲解如何设置Linux防火墙规则。

一、确认使用的防火墙工具

Linux系统常见的防火墙管理方式有两种：iptables和firewalld。

• iptables是一个老牌的防火墙工具，通过命令直接操作内核的netfilter模块。
• firewalld则提供了动态管理防火墙的能力，支持区域（zone）概念，更适合桌面或服务器环境的灵活配置。

可以通过以下命令查看当前系统使用的是哪个：

systemctl status firewalld

或者检查是否安装了iptables服务：

systemctl status iptables

如果你不确定用哪个，大多数CentOS/RHEL 7+系统默认使用firewalld，而Ubuntu则倾向于使用ufw（简化版），但也可以使用iptables。

二、使用firewalld配置基本规则

如果你的系统使用的是firewalld，可以通过如下方式快速设置常用规则。

1. 查看当前状态和默认区域

firewall-cmd --state
firewall-cmd --get-default-zone

通常默认区域为public，你可以根据需要更改：

firewall-cmd --set-default-zone=home

2. 开放指定端口

比如要开放HTTP（80）和HTTPS（443）端口：

firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --permanent --add-port=443/tcp

添加完成后记得重载配置：

firewall-cmd --reload

3. 添加允许的服务

firewalld内置了一些常见服务名称，比如ssh、http等：

firewall-cmd --permanent --add-service=ssh

这种方式比直接开端口更规范，也方便维护。

三、使用iptables配置规则（适合旧系统）

对于还在使用iptables的系统，可以直接编辑规则文件或使用命令行添加规则。

1. 添加允许SSH连接的规则

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

2. 拒绝所有其他入站连接

iptables -A INPUT -j DROP

注意顺序很重要，因为iptables是按顺序匹配的。应该先把允许的规则写在前面，最后再加拒绝规则。

3. 保存规则

保存方法因系统而异，在CentOS上可以使用：

service iptables save

而在Ubuntu上可能需要手动保存到文件：

iptables-save > /etc/iptables/rules.v4

四、注意事项与建议

• 测试规则前保留SSH通道：修改防火墙规则时，务必确保至少有一个终端保持SSH连接不断开，否则可能把自己锁在外面。
• 定期审查规则列表：可以用iptables -L -n或firewall-cmd --list-all查看当前生效的规则。
• 不要过度依赖默认配置：很多系统默认只允许部分服务，但并不一定满足你的需求，最好自己检查并定制。
• 启用日志有助于排查问题：可以添加日志记录规则，例如：

iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: "

这样可以在系统日志里看到被拦截的请求。

基本上就这些。防火墙配置不复杂，但细节容易忽略，尤其是规则顺序和服务依赖方面。只要理解了基本逻辑，日常维护就不会太难。

好了，本文到此结束，带大家了解了《Linux防火墙配置与规则设置详解》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！