Linux下的防火墙（linux防火墙功能）

nanshan 2024-10-16 10:48 22 浏览 0 评论

使用过Linux系统的人对iptables一定不陌生，它是Linux从2.4.x版本内核开始，系统自带的防火墙。如今Linux内核已经更新至5.11.x版本，Linux的防火墙在iptables基础上泛生出UFW和Firewalld，并且在一些发行版中已经替代iptables。

Netfilter/Iptables

Netfilter/Iptables 是Linux系统自带的防火墙，Iptables管理规则，Netfilter是规则的执行者，它们一起组成Linux下包过滤防火墙。

iptables内置4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。每个表都会有相应的链。下图是iptables中的四表五链：

链（chains）是数据包传播的路径。每一条链中可以有一条或多条规则，当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则。如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。

关于iptables的原理这篇文章讲得很清楚：https://blog.csdn.net/tennysonsky/article/details/44596515

在Linux中，可以使用如下命令启用或关闭iptables

// 启动iptables
systemctl start iptables

// 停止iptables
systemctl stop iptables

以下是常用命令：

// 列出 INPUT 表中规则
iptables -L INPUT

// 允许3306端口TCP协议访问
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

// 允许IP为xxx.xxx.xxx.xxx通过udp访问本地500端口
iptables -I INPUT -p udp --dport 500 -s xxx.xxx.xxx.xxx -j ACCEPT

// -I参数是将规则插入表开头，-A是把规则添加到表未尾，优先级最低，可做为默认规则
// 当不符合前面规则后拒绝所有请求
iptables -A INPUT -p tcp -j REJECT

// 删除INPUT表中第1条规则
iptables -D INPUT 1

// 清空规则列表
iptables -F

iptables还能做基于内核的包转发。关于iptables用法网上文章太多了，就不多写。

需要注意的是，iptables规则虽然能即时生效，但并未保存。开机后会丢失。

RedHat系执行保存：

service iptables save

Debian系执行 iptables-save 列出所有规则，输出到文件中保存。系统启动时用 iptables-restore 恢复。

// 保存
iptables-save > /etc/iptables.conf

// 恢复
iptables-restore < /etc/iptables.conf

UFW 和 Firewalld

iptables很强大也很复杂，于是便有UFW和Firewalld。它们的命令简单清晰很多，底层都是调用iptables。

UFW是Ubuntu下防火墙：

// 启动ufw
systemctl start ufw

// 停用ufw
systemctl stop ufw

以下是常用命令：

// 查询ufw开启状态，打印规则
ufw status

// 允许80端口访问
ufw allow 80

// 拒绝8000端口访问
ufw deny 9000

// 拒绝ip为xxx.xxx.xxx.xxx访问
ufw deny from xxx.xxx.xxx.xxx

// 允许通过tcp协议，9000-9002访问
ufw allow 9000:9002/tcp

// 删除规则
ufw delete allow http

Firewalld

Firewalld是Fedora/CentOS 8之后版本自带的防火墙：

// 启动firewalld
systemctl start firewalld

// 停用firewalld
systemctl stop firewalld

以下是常用命令：

// 允许tcp协议8161端口访问，--zone(作用域)，--permanent(永久生效)
firewall-cmd --zone=public --add-port=8161/tcp --permanent

// 重新加载规则
firewall-cmd --reload

// 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080

// 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1

// 将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080

Firewalld也有图形界面：

除非注明，否则均为"攻城狮·正"原创文章，请注明出处。

本文链接：https://engr-z.com/402.html

ubuntu防火墙状态查看

上一篇：远程访问ubuntu,防火墙端口设置(xshell访问，和mysql访问)
下一篇：Ubuntu 防火墙管理秘籍:一键批量删除 UFW 规则教程#Ubuntu

Linux下的防火墙（linux防火墙功能）

Netfilter/Iptables

UFW 和 Firewalld

相关推荐

取消回复欢迎你发表评论:

极空间如何无损移机，新Z4 Pro又有哪些升级?极空间Z4 Pro深度体验

手机如何设置与显示准确时间的详细指南

NAS:DS video/DS file/DS photo等群晖移动端APP远程访问的教程

如何修复用户配置文件服务在 WINDOWS 上登录失败的问题

一加手机与电脑互传文件的便捷方法FileDash

日本海上自卫队的军衔制度（日本海上自卫队的军衔制度是什么）

10个免费文件中转服务站，分享文件简单方便，你知道几个?

银河麒麟高级服务版本V10设置ntp服务器

【系统配置】信创终端挂载NAS共享全攻略:一步到位!

iPhone输错密码锁屏1小时怎么办?连接电脑2步立刻解决

Linux下的防火墙（linux防火墙功能）

Netfilter/Iptables

UFW 和 Firewalld

相关推荐

取消回复欢迎 你 发表评论:

极空间如何无损移机，新Z4 Pro又有哪些升级?极空间Z4 Pro深度体验

手机如何设置与显示准确时间的详细指南

NAS:DS video/DS file/DS photo等群晖移动端APP远程访问的教程

如何修复用户配置文件服务在 WINDOWS 上登录失败的问题

一加手机与电脑互传文件的便捷方法FileDash

日本海上自卫队的军衔制度（日本海上自卫队的军衔制度是什么）

10个免费文件中转服务站，分享文件简单方便，你知道几个?

银河麒麟高级服务版本V10设置ntp服务器

【系统配置】信创终端挂载NAS共享全攻略:一步到位!

iPhone输错密码锁屏1小时怎么办?连接电脑2步立刻解决

取消回复欢迎你发表评论: