Linux LNMP如何配置防火墙

Linux LNMP配置防火墙常用方法如下：

一、使用firewalld（推荐，CentOS 7+）

1. 关闭firewalld（若需切换为iptables）

   systemctl stop firewalld && systemctl disable firewalld  
   

2. 开启firewalld并添加规则

   # 允许HTTP(80)、HTTPS(443)、MySQL(3306)端口  
   firewall-cmd --permanent --add-port=80/tcp  
   firewall-cmd --permanent --add-port=443/tcp  
   firewall-cmd --permanent --add-port=3306/tcp  
   # 重新加载配置  
   firewall-cmd --reload  
   

3. 验证规则

   firewall-cmd --list-all  
   

二、使用iptables（需手动配置）

1. 备份并编辑配置文件

   cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak  
   vi /etc/sysconfig/iptables  
   

2. 添加规则（示例）

   # 允许已建立的连接、ICMP、本地回环  
   -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
   -A INPUT -p icmp -j ACCEPT  
   -A INPUT -i lo -j ACCEPT  
   # 允许HTTP、HTTPS、MySQL端口（NEW连接）  
   -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT  
   -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT  
   -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT  
   # 拒绝其他流量  
   -A INPUT -j REJECT --reject-with icmp-host-prohibited  
   

3. 重启iptables生效

   systemctl restart iptables  
   

三、注意事项

• 仅开放必要端口，避免暴露敏感服务。
• 生产环境建议先在测试环境验证规则。
• 可结合ngx_lua_waf等工具增强应用层防护。

根据实际需求选择工具，优先使用firewalld简化管理。