Debian防火墙如何规则添加

Debian防火墙规则添加指南（iptables与ufw）
Debian系统中，防火墙规则主要通过iptables（底层工具）或ufw（用户友好封装）配置。以下是两种工具的具体操作步骤及注意事项：

iptables是Debian默认的防火墙工具，需通过命令行直接操作，适合需要精细控制的场景。

设置默认策略：建议先设置默认拒绝所有入站流量（默认允许出站），避免遗漏风险：

sudo iptables -P INPUT DROP    # 拒绝所有入站
sudo iptables -P FORWARD DROP  # 拒绝所有转发
sudo iptables -P OUTPUT ACCEPT # 允许所有出站

允许特定IP访问：如允许192.168.1.100访问SSH（端口22）：
```
sudo iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT
```

允许特定端口：如允许HTTP（80端口）和HTTPS（443端口）：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

拒绝特定IP：如阻止192.168.1.101的所有入站流量：
```
sudo iptables -A INPUT -s 192.168.1.101 -j DROP
```
允许已建立的连接：避免中断现有会话（需配合-m conntrack模块）：
```
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
```

iptables规则默认重启后失效，需通过iptables-persistent保存：

sudo apt install iptables-persistent  # 安装时选择“是”保存当前规则
sudo netfilter-persistent save        # 手动保存规则
sudo netfilter-persistent reload      # 重新加载规则

也可手动备份规则到/etc/iptables/rules.v4：

sudo iptables-save > /etc/iptables/rules.v4

ufw（Uncomplicated Firewall）是基于iptables的前端工具，命令更简洁，适合新手或快速配置。

允许SSH：默认端口22，命令：sudo ufw allow ssh（或sudo ufw allow 22/tcp）。
允许HTTP/HTTPS：sudo ufw allow 80/tcp（HTTP）、sudo ufw allow 443/tcp（HTTPS）。
允许特定IP访问：如允许192.168.1.100访问80端口：
```
sudo ufw allow from 192.168.1.100 to any port 80
```
允许端口范围：如开放2290-2300端口的TCP流量：
```
sudo ufw allow 2290:2300/tcp
```
限制SSH连接速率：防止暴力破解，每30秒最多允许5次新连接：
```
sudo ufw limit 22/tcp
```

备份规则：修改前备份现有规则（如sudo iptables-save > ~/iptables-backup.txt或sudo ufw export > ~/ufw-backup.rules），避免配置错误导致无法访问。
测试规则：生产环境应用前，先在测试环境验证规则，避免误拦截合法流量。
默认策略：iptables建议设置INPUT DROP（拒绝所有入站），ufw默认已开启此策略，确保未明确允许的流量被拦截。
服务依赖：ufw依赖iptables和netfilter-persistent，安装ufw时会自动安装这些组件。

通过以上步骤，可根据需求选择工具添加防火墙规则，保护Debian系统安全。

最新问答