如何设置Linux防火墙规则？ufw与firewalld配置教程

linux防火墙规则设置的核心在于选择合适的工具并正确配置允许或阻止的流量。1.首选工具为ufw或firewalld，前者适用于debian/ubuntu系统，后者多用于centos/rhel系统；2.ufw默认阻止所有入站流量、允许出站流量，启用后需手动开放ssh端口（如22/tcp）及其他服务端口（如80/tcp、443/tcp），也可通过命令删除特定规则；3.firewalld需手动启动并设置开机自启，使用--permanent参数添加或移除服务或端口，并通过重新加载使配置生效；4.高级配置如基于ip的访问控制，ufw可通过allow/deny from指定源地址，firewalld则需创建zone并绑定网段与接口；5.常见错误包括误封ssh端口导致无法连接及更改未生效，应确保ssh开放且配置重载。

Linux防火墙规则的设置，核心在于允许或阻止特定的网络流量进出你的系统。这可以通过 ufw 或 firewalld 这两个工具来实现，选择哪个取决于你的发行版和个人偏好。ufw 通常更简单易用，而 firewalld 提供了更丰富的功能。

解决方案

首先，你需要选择使用 ufw 还是 firewalld。大多数 Debian/Ubuntu 系统默认安装了 ufw，而 CentOS/RHEL 系统则通常使用 firewalld。

使用 UFW (Uncomplicated Firewall)

1. 安装 UFW (如果未安装):

   sudo apt update
   sudo apt install ufw

   登录后复制

2. 启用 UFW:

   sudo ufw enable

   登录后复制

   默认情况下，ufw 会阻止所有传入连接，允许所有传出连接。

3. 允许 SSH 连接 (重要!):

   sudo ufw allow ssh
   # 或者，更明确地指定端口：
   sudo ufw allow 22/tcp

   登录后复制

   如果你使用非标准 SSH 端口，请将 22 替换为你的端口号。否则，你可能会把自己锁在服务器之外。

4. 允许其他服务 (例如 HTTP/HTTPS):

   sudo ufw allow http
   sudo ufw allow https
   # 或者，使用端口：
   sudo ufw allow 80/tcp
   sudo ufw allow 443/tcp

   登录后复制

5. 阻止特定端口:

   sudo ufw deny 21/tcp  # 阻止 FTP

   登录后复制

6. 查看 UFW 状态:

   sudo ufw status
   sudo ufw status verbose # 显示更详细的信息

   登录后复制

7. 删除规则:

   sudo ufw delete allow 80/tcp # 删除允许 80 端口的规则

   登录后复制

使用 Firewalld

1. 安装 Firewalld (如果未安装):

   sudo yum install firewalld  # CentOS/RHEL
   sudo apt install firewalld  # Debian/Ubuntu (可能需要手动启动)

   登录后复制

2. 启动 Firewalld 并设置为开机启动:

   sudo systemctl start firewalld
   sudo systemctl enable firewalld

   登录后复制

3. 允许 SSH 连接:

   sudo firewall-cmd --permanent --add-service=ssh

   登录后复制

4. 允许其他服务 (例如 HTTP/HTTPS):

   sudo firewall-cmd --permanent --add-service=http
   sudo firewall-cmd --permanent --add-service=https

   登录后复制

5. 允许特定端口:

   sudo firewall-cmd --permanent --add-port=8080/tcp  # 允许 8080 端口

   登录后复制

6. 阻止特定端口:

   sudo firewall-cmd --permanent --remove-port=21/tcp  # 阻止 FTP

   登录后复制

7. 查看 Firewalld 状态:

   sudo firewall-cmd --state
   sudo firewall-cmd --list-all # 显示所有规则

   登录后复制

8. 重新加载 Firewalld 配置 (使更改生效):

   sudo firewall-cmd --reload

   登录后复制

为什么要设置防火墙规则？

设置防火墙规则是为了保护你的 Linux 系统免受未经授权的访问和潜在的网络攻击。没有防火墙，你的系统就像一扇敞开的大门，任何人都可能进入。

UFW 和 Firewalld 的区别是什么？我应该选择哪个？

ufw 相对简单，易于学习和使用，适合个人用户或对防火墙配置要求不高的场景。firewalld 更加灵活，功能更强大，适合服务器环境或需要更细粒度控制的场景。firewalld 使用区域 (zones) 的概念，可以针对不同的网络环境应用不同的规则。如果你刚开始接触 Linux 防火墙，建议先从 ufw 入手。

如何配置更复杂的防火墙规则，例如基于源 IP 地址的访问控制？

UFW:

sudo ufw allow from 192.168.1.100 to any port 22  # 允许特定 IP 地址访问 SSH
sudo ufw deny from 10.0.0.0/24 to any port 80  # 阻止特定 IP 地址段访问 HTTP

Firewalld:

首先，你需要创建一个新的 zone (如果需要):

sudo firewall-cmd --permanent --new-zone=internal
sudo firewall-cmd --permanent --zone=internal --add-source=192.168.1.0/24
sudo firewall-cmd --permanent --zone=internal --add-service=ssh
sudo firewall-cmd --reload

然后，你可以将网络接口分配到该 zone:

sudo firewall-cmd --zone=internal --change-interface=eth0 --permanent
sudo firewall-cmd --reload

这些命令允许 192.168.1.0/24 网段的设备访问 SSH 服务，并将 eth0 网卡关联到 internal zone。

防火墙配置错误可能导致什么问题？如何避免？

最常见的问题是意外地阻止了 SSH 访问，导致无法远程连接到服务器。为了避免这种情况，务必在启用防火墙之前允许 SSH 连接。另一个常见问题是忘记重新加载防火墙配置，导致更改没有生效。

在进行任何防火墙配置更改之前，最好先备份当前的配置。对于 ufw，没有直接的备份命令，但你可以手动复制 /etc/ufw 目录。对于 firewalld，配置文件位于 /etc/firewalld 目录下。

以上就是如何设置Linux防火墙规则？ufw与firewalld配置教程的详细内容，更多请关注php中文网其它相关文章！