Linux下如何配置防火墙

在Linux系统下，有多种方法可以配置防火墙。以下是一些常用的方法和工具：

1. 使用 iptables

iptables 是一个强大的命令行工具，用于配置Linux内核的网络包过滤规则。

基本命令

• 查看规则：

  sudo iptables -L -n -v
  

• 清空所有规则：

  sudo iptables -F
  

• 允许特定IP访问：

  sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT
  

• 拒绝特定IP访问：

  sudo iptables -A INPUT -s 192.168.1.100 -j DROP
  

• 允许特定端口：

  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  

• 拒绝特定端口：

  sudo iptables -A INPUT -p tcp --dport 22 -j DROP
  

保存规则

iptables 规则在重启后会丢失，可以使用 iptables-save 和 iptables-restore 命令来保存和恢复规则。

• 保存规则：

  sudo iptables-save > /etc/iptables/rules.v4
  

• 恢复规则：

  sudo iptables-restore < /etc/iptables/rules.v4
  

2. 使用 ufw (Uncomplicated Firewall)

ufw 是一个用户友好的前端工具，用于管理 iptables 规则。

安装 ufw

sudo apt-get update
sudo apt-get install ufw

启用 ufw

sudo ufw enable

禁用 ufw

sudo ufw disable

查看状态

sudo ufw status

允许特定IP访问

sudo ufw allow from 192.168.1.100

拒绝特定IP访问

sudo ufw deny from 192.168.1.100

允许特定端口

sudo ufw allow 80/tcp

拒绝特定端口

sudo ufw deny 22/tcp

3. 使用 firewalld

firewalld 是另一个流行的防火墙管理工具，支持动态管理和区域配置。

安装 firewalld

sudo apt-get update
sudo apt-get install firewalld

启动 firewalld

sudo systemctl start firewalld

设置开机自启

sudo systemctl enable firewalld

查看状态

sudo firewall-cmd --state

查看活动区域

sudo firewall-cmd --get-active-zones

允许特定IP访问

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'

拒绝特定IP访问

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject'

允许特定端口

sudo firewall-cmd --permanent --add-port=80/tcp

拒绝特定端口

sudo firewall-cmd --permanent --remove-port=22/tcp

重新加载配置

sudo firewall-cmd --reload

总结

• iptables：强大但复杂，适合高级用户。
• ufw：简单易用，适合初学者。
• firewalld：动态管理，支持区域配置，适合需要灵活配置的用户。

选择适合你需求的工具进行配置即可。