Linux防火墙如何集成到系统中

Linux防火墙系统集成实践

一 选型与总体架构

• 面向服务器与云主机，优先选用具备动态管理、区域化策略与服务抽象的工具，如 firewalld；桌面或简单场景可用 ufw；需要精细控制或与现代内核特性结合时选择 nftables；传统环境或存量脚本可用 iptables。无论选型如何，都应围绕系统服务、日志、容器与主机安全模块进行一体化集成，确保规则持久化、可编排与可观测。

二 与系统服务集成

• 服务与端口放行
  • firewalld：使用区域与服务抽象管理规则，便于与系统服务生命周期联动。示例：sudo firewall-cmd --permanent --zone=public --add-service=ssh --add-service=http --add-service=https && sudo firewall-cmd --reload。
  • ufw：快速启用并放行常用端口。示例：sudo ufw enable && sudo ufw allow 22/tcp && sudo ufw allow 80,443/tcp。
• 日志与审计
  • iptables：为关键流量添加日志前缀，便于 rsyslog 分流。示例：sudo iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH: "。
  • rsyslog：将含特定前缀的日志单独落盘。示例（在 /etc/rsyslog.conf 或 /etc/rsyslog.d/iptables.conf 中添加）：:msg, contains, "SSH" -/var/log/iptables.log，随后 sudo systemctl reload rsyslog。
• 主机安全模块联动
  • 与 SELinux 或 AppArmor 配合，分别负责强制访问控制与进程能力约束，防火墙负责网络层边界，二者互补。示例：sudo aa-enable /etc/apparmor.d/usr.sbin.sshd（AppArmor）；SELinux 可用 sestatus、setenforce 等命令查看与切换模式。

三 与容器和云平台集成

• Docker 与 firewalld
  • 冲突点：Docker 启动会直接写入 iptables，可能绕过或干扰 firewalld 策略。
  • 推荐做法：为容器网络创建专用 zone，将 docker0 接口与容器网段纳入管理，减少冲突并保留可观测性。示例：sudo firewall-cmd --permanent --new-zone=docker && sudo firewall-cmd --permanent --zone=docker --add-interface=docker0 && sudo firewall-cmd --permanent --zone=docker --add-source=172.17.0.0/16 && sudo firewall-cmd --permanent --zone=docker --set-target=ACCEPT && sudo systemctl restart docker firewalld。
• Kubernetes 与 Node 端口
  • 在节点上放行 6443（kube-apiserver）、2379-2380（etcd）、以及 NodePort 范围 30000-32767/TCP 等必要端口，结合 CNI 插件所需端口（如 VXLAN 8472/UDP）按需开放，避免无限制放行 0.0.0.0/0。

四 持久化、启动与变更管理

• firewalld
  • 规则默认以“运行时+永久”双态管理，变更后用 firewall-cmd --reload 使永久配置生效；通过 firewall-cmd --get-active-zones 与 firewall-cmd --list-all-zone 校验生效范围与策略。
• nftables
  • 将规则集写入 /etc/nftables.conf，启用并开机启动服务：sudo systemctl start nftables && sudo systemctl enable nftables；变更后 sudo nft -f /etc/nftables.conf 重载。
• iptables
  • 使用 iptables-save > /etc/iptables/rules.v4 与 iptables-restore < /etc/iptables/rules.v4 做持久化；在 Debian 系可借助网络接口事件脚本（如 /etc/network/if-pre-up.d/iptables）在接口就绪时自动恢复规则，确保重启后策略不丢失。

五 典型场景快速参考

• 场景A：最小化服务器防护（firewalld）
  • 目标：仅放行 SSH/HTTP/HTTPS，其余默认拒绝；开启日志；规则可回滚。
  • 步骤：
    • 启动与开机：sudo systemctl start firewalld && sudo systemctl enable firewalld
    • 放行服务：sudo firewall-cmd --permanent --zone=public --add-service=ssh --add-service=http --add-service=https && sudo firewall-cmd --reload
    • 日志分流：在 rsyslog 中为“firewalld”关键字单独落盘（如 /var/log/firewalld.log），sudo systemctl reload rsyslog
    • 校验：firewall-cmd --list-all --zone=public
• 场景B：启用 NAT 网关（iptables）
  • 目标：内网 192.168.1.0/24 经公网口 eth0 出网做 SNAT。
  • 步骤：
    • 开启转发：echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf && sudo sysctl -p
    • 配置 SNAT：sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source <公网IP>
    • 持久化：sudo iptables-save > /etc/iptables/rules.v4
• 场景C：与 Fail2Ban 联动（通用）
  • 目标：对暴力破解自动封禁，与防火墙规则协同。
  • 步骤：
    • 安装与启用：sudo apt update && sudo apt install fail2ban && sudo systemctl enable --now fail2ban
    • 配置：编辑 /etc/fail2ban/jail.local，为 sshd 等启用监狱并指定动作（如 iptables/firewalld），重启 fail2ban 生效。