news 2026/7/2 1:22:33

防火墙配置:掌握 iptables、firewalld 等工具的使用与管理

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
防火墙配置:掌握 iptables、firewalld 等工具的使用与管理

防火墙配置:掌握 iptables、firewalld 等工具的使用与管理

在现代服务器安全体系中,防火墙是最基础、最关键的安全屏障之一。无论是传统的iptables,还是更现代的firewalld,都承担着“限制访问、减少攻击面、保护系统”的核心职责。

本文将从以下几个方面展开:

  • iptables 与 firewalld 的区别与适用场景
  • iptables 常用规则与管理方法
  • firewalld 的区域、服务与端口管理
  • 企业级防火墙最佳实践

1. iptables 与 firewalld 的区别

项目iptablesfirewalld
工作方式静态规则表动态规则管理
配置难度较高较低
是否支持热更新❌ 重载会中断连接✔ 支持动态更新
管理方式命令行规则区域(zone)+ 服务(service)
适用场景高度自定义、精细控制日常运维、快速配置

总结:

  • 需要精细控制 → 用iptables
  • 需要快速管理、动态更新 → 用firewalld

2. iptables 基础与常用配置

iptables 基于表(table)链(chain)工作:

  • filter:默认表,用于过滤流量
  • nat:地址转换(DNAT/SNAT)
  • mangle:修改数据包
  • raw:绕过连接跟踪

常用链:

  • INPUT:进入本机的流量
  • OUTPUT:从本机发出的流量
  • FORWARD:转发流量

2.1 查看当前规则

iptables -L -n -v

2.2 放行常用端口

放行 SSH(22)

iptables -A INPUT -p tcp --dport22-j ACCEPT

放行 HTTP/HTTPS

iptables -A INPUT -p tcp -m multiport --dports80,443-j ACCEPT

2.3 拒绝所有其他流量(默认策略)

iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT

2.4 允许本地回环与已建立连接

iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2.5 保存规则

CentOS 7 及以下:

serviceiptables save

Ubuntu:

iptables-save>/etc/iptables.rules

3. firewalld 使用与管理

firewalld 是基于区域(zone)的动态防火墙,支持热更新,不会中断现有连接。


3.1 常用命令

查看状态

systemctl status firewalld

启动/停止

systemctl start firewalld systemctlenablefirewalld

3.2 区域(Zone)概念

常见区域:

区域说明
public默认区域,允许最少服务
internal内网环境
trusted信任所有流量(慎用)
drop丢弃所有流量

查看当前区域:

firewall-cmd --get-active-zones

3.3 开放端口

开放 80 端口

firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --reload

开放多个端口

firewall-cmd --add-port=3000-3010/tcp --permanent

3.4 开放服务(推荐方式)

firewalld 内置服务定义(如 ssh、http、https)。

开放 HTTP 服务

firewall-cmd --add-service=http --permanent firewall-cmd --reload

查看所有服务:

firewall-cmd --get-services

3.5 移除端口或服务

firewall-cmd --remove-port=80/tcp --permanent firewall-cmd --remove-service=http --permanent firewall-cmd --reload

3.6 允许特定 IP 访问

仅允许某 IP 访问 SSH

firewall-cmd --add-rich-rule='rule family="ipv4" source address="1.2.3.4" port port="22" protocol="tcp" accept'--permanent

4. iptables 与 firewalld 的组合使用建议

  • firewalld 是 iptables 的上层管理工具
  • 不建议同时启用两者,否则规则冲突难以排查
  • 若使用 firewalld,应关闭 iptables 服务

5. 企业级防火墙最佳实践

5.1 最小暴露面原则

  • 只开放业务必须端口
  • 禁用所有默认服务
  • 定期审计端口暴露情况

5.2 使用白名单策略

  • SSH 仅允许固定 IP 登录
  • 管理后台仅允许内网访问

5.3 分环境管理

环境策略
生产严格白名单
测试适度放开
开发内网访问即可

5.4 日志与审计

  • 定期查看防火墙日志
  • 监控异常访问(如暴力破解)
  • 配合 fail2ban 等工具自动封禁恶意 IP

6. 总结

掌握 iptables 与 firewalld,是系统安全加固的基础能力:

  • iptables:适合精细化控制
  • firewalld:适合动态管理与日常运维
  • 最小暴露面 + 白名单 + 审计是企业级最佳实践

通过合理配置防火墙,可以显著降低攻击面,提升系统整体安全性。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/30 22:37:03

切木棍最小成本方法

一、核心解题思路1. 问题转化与预处理- 排序切割点:切割点的顺序不影响最终切割成本,先对切割点升序排序,保证后续区间处理的有序性。- 补全切割点:在切割点数组首尾分别添加 0 (木棍起点)和 n &#xff08…

作者头像 李华
网站建设 2026/7/1 17:53:38

我发现Zstd压缩级太高内存涨 后来调level参数优化平衡

💓 博客主页:瑕疵的CSDN主页 📝 Gitee主页:瑕疵的gitee主页 ⏩ 文章专栏:《热点资讯》 目录《我在Node.js坑里摔了三年,终于摸到点门道了》 一、为什么我要和Node.js杠上? 二、Node.js能干啥&a…

作者头像 李华
网站建设 2026/7/1 8:10:20

2026 年 CRM 软件入门指南:概念、类型、厂商与选型策略

一、CRM 系统核心概念与价值CRM (Customer Relationship Management) 是企业管理客户全生命周期的战略与技术系统,2026 年已演变为企业增长中枢,超越传统 "记录工具" 角色,成为业务自动化与持续优化的核心引擎。三层价值架构&#…

作者头像 李华
网站建设 2026/7/1 1:28:35

微观交通流仿真软件:AIMSUN_(17).环境影响评估

环境影响评估 1. 引言 在交通规划和设计中,环境影响评估(Environmental Impact Assessment, EIA)是一个至关重要的环节。它旨在分析和评估交通项目对环境的潜在影响,包括空气污染、噪声污染、水污染等方面。通过对这些影响的评估&…

作者头像 李华
网站建设 2026/7/1 0:42:48

微观交通流仿真软件:Paramics_(3).交通数据采集与处理

交通数据采集与处理 在交通仿真软件中,数据的采集与处理是至关重要的一步。高质量的交通数据不仅能够提高仿真的准确性,还能为后续的分析和优化提供可靠的基础。本节将详细介绍如何在Paramics中进行交通数据的采集与处理,包括数据源的选择、数…

作者头像 李华