在当今网络环境中,网络安全设置是每个Linux系统管理员必须掌握的基本技能。防火墙作为第一道防线,能够有效阻止未经授权的访问,保护服务器和数据安全。本教程将手把手教你如何在Linux系统中配置网络防火墙,即使你是完全的小白也能轻松上手。
一、什么是Linux防火墙?
Linux防火墙是一种基于内核的网络过滤机制,主要通过iptables或firewalld等工具实现。它可以根据预设规则允许或拒绝特定的网络流量,从而增强系统的安全性。
目前主流的Linux发行版(如CentOS 7+/RHEL 7+、Fedora等)默认使用 firewalld 作为防火墙管理工具;而较老的系统或Debian/Ubuntu则更常使用 iptables。两者都能实现强大的网络控制功能。
二、firewalld 防火墙基础配置
我们以 CentOS 8 为例,介绍如何使用 firewalld配置 来管理防火墙。
1. 检查 firewalld 状态
sudo systemctl status firewalld如果未运行,可使用以下命令启动并设置开机自启:
sudo systemctl start firewalldsudo systemctl enable firewalld2. 查看当前防火墙规则
sudo firewall-cmd --list-all输出会显示当前激活的区域(zone)、开放的端口、允许的服务等信息。
3. 开放常用端口(例如SSH 22端口)
sudo firewall-cmd --permanent --add-port=22/tcpsudo firewall-cmd --reload注意:--permanent 表示永久生效,否则重启后规则会丢失。--reload 用于重新加载配置。
4. 允许特定服务(如HTTP/HTTPS)
sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=httpssudo firewall-cmd --reload三、iptables 基础用法(适用于Ubuntu/Debian等)
如果你使用的是基于 Debian 的系统(如 Ubuntu),可能更习惯使用 iptables基础 命令。
1. 安装 iptables(如未安装)
sudo apt updatesudo apt install iptables2. 允许SSH连接
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT3. 设置默认策略(谨慎操作!)
# 允许已建立的连接sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# 允许本地回环sudo iptables -A INPUT -i lo -j ACCEPT# 默认拒绝所有其他输入sudo iptables -P INPUT DROP⚠️ 注意:执行 -P INPUT DROP 前务必确保已允许SSH,否则可能被锁在服务器外!
四、保存规则(防止重启失效)
对于 iptables,规则默认不会持久化。需手动保存:
# Ubuntu/Debiansudo iptables-save > /etc/iptables/rules.v4# CentOS 6(旧版)sudo service iptables save五、总结
无论你使用的是 firewalld 还是 iptables,掌握基本的 Linux防火墙 配置都是保障服务器安全的关键一步。通过本教程,你应该已经学会了如何查看状态、开放端口、允许服务以及保存规则。
记住:防火墙不是万能的,但它是最基础、最重要的安全屏障之一。合理配置 网络安全设置,能大大降低系统被攻击的风险。
建议在生产环境中先在测试机上练习,避免误操作导致服务中断。