Linux服务器防火墙配置全指南：iptables与firewalld实战

一、防火墙基础概念

防火墙是网络安全的第一道防线，它能有效控制进出服务器的网络流量。Linux系统提供多种防火墙解决方案，其中iptables是传统的基于规则的防火墙工具，而firewalld则是较新的动态防火墙管理器，特别适合需要频繁变更规则的场景。

二、iptables防火墙配置

1. 安装与基本命令

大多数Linux发行版默认已安装iptables，可通过以下命令检查：

sudo iptables -L

2. 基本规则配置

iptables通过链(chain)和规则(rule)来组织防火墙策略：

• INPUT链：处理进入服务器的数据包
• OUTPUT链：处理从服务器发出的数据包
• FORWARD链：处理转发数据包

3. 常用配置示例

# 允许本地回环接口
sudo iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的连接
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 允许SSH连接
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 默认拒绝所有其他连接
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP

4. 规则持久化

iptables规则默认不会保存，重启后失效。可使用以下命令保存和恢复规则：

# Ubuntu/Debian
sudo apt install iptables-persistent
sudo netfilter-persistent save

# CentOS/RHEL
sudo service iptables save

三、firewalld防火墙配置

1. 安装与启动

firewalld是许多现代Linux发行版的默认防火墙工具：

sudo systemctl start firewalld
sudo systemctl enable firewalld

2. 基本概念

firewalld引入了一些新概念：

• 区域(zone)：定义信任级别的网络环境
• 服务(service)：预定义的规则集合
• 端口(port)：直接开放的端口

3. 常用命令

# 查看活动区域
sudo firewall-cmd --get-active-zones

# 添加服务
sudo firewall-cmd --zone=public --add-service=http --permanent

# 添加端口
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

# 重新加载配置
sudo firewall-cmd --reload

4. 高级配置

firewalld支持更复杂的网络配置：

# 限制IP访问
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'

# 端口转发
sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080

四、防火墙最佳实践

1. 仅开放必要的端口和服务
2. 定期审查防火墙规则
3. 结合fail2ban等工具增强防护
4. 测试规则变更前先在非生产环境验证
5. 保持防火墙软件更新

五、常见问题解答

Q：iptables和firewalld可以同时使用吗？

A：不推荐同时使用，这可能导致规则冲突。建议选择一种工具并坚持使用。

Q：如何查看被防火墙阻止的连接？

A：可以使用journalctl -xe或检查/var/log/messages中的防火墙日志。

Q：防火墙配置错误导致无法远程连接怎么办？

A：如果通过SSH连接被阻断，可以通过控制台或KVM直接访问服务器进行修复。