Linux防火墙如何自定义策略

在Linux系统中，自定义防火墙策略通常涉及使用iptables或firewalld等工具。以下是使用这两个工具自定义防火墙策略的基本步骤：

使用iptables自定义策略

1. 查看现有规则：

   sudo iptables -L -n -v
   

2. 添加新规则：

   • 允许特定IP访问：

     sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT
     

   • 拒绝特定IP访问：

     sudo iptables -A INPUT -s 192.168.1.101 -j DROP
     

   • 允许特定端口访问：

     sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
     

   • 拒绝特定端口访问：

     sudo iptables -A INPUT -p tcp --dport 22 -j DROP
     

3. 保存规则：

   • 对于Debian/Ubuntu系统：

     sudo iptables-save > /etc/iptables/rules.v4
     

   • 对于Red Hat/CentOS系统：

     sudo service iptables save
     

4. 恢复规则：

   • 对于Debian/Ubuntu系统：

     sudo iptables-restore < /etc/iptables/rules.v4
     

   • 对于Red Hat/CentOS系统：

     sudo service iptables restart
     

使用firewalld自定义策略

1. 查看现有区域和规则：

   sudo firewall-cmd --list-all
   

2. 添加新规则：

   • 允许特定IP访问：

     sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'
     

   • 拒绝特定IP访问：

     sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.101" reject'
     

   • 允许特定端口访问：

     sudo firewall-cmd --permanent --add-port=80/tcp
     

   • 拒绝特定端口访问：

     sudo firewall-cmd --permanent --remove-port=22/tcp
     

3. 重新加载防火墙配置：

   sudo firewall-cmd --reload
   

注意事项

• 备份现有规则：在修改防火墙规则之前，建议备份现有的规则，以便在出现问题时可以恢复。
• 测试规则：在生产环境中应用新规则之前，建议在测试环境中进行充分测试。
• 权限：修改防火墙规则通常需要root权限。

通过以上步骤，你可以根据需要自定义Linux系统的防火墙策略。