Linux防火墙配置总结.docxVIP

Linux防火墙配置总结

Linux防火墙配置总结

一、概述

Linux系统自带的防火墙工具iptables/nftables是网络安全的基石，能够有效控制网络流量，防止未授权访问。本文档将系统性地介绍Linux防火墙的配置方法，包括基本概念、常用命令以及实际操作步骤。通过本指南，读者可以掌握Linux防火墙的配置与管理技巧，提升系统安全性。

二、防火墙基础概念

（一）核心概念

1.数据包过滤：根据IP地址、端口号等字段决定数据包是否通过

2.状态跟踪：跟踪连接状态，仅允许合法的连接相关数据包通过

3.网络地址转换(NAT)：修改IP头信息，实现私有网络访问互联网

4.端口转发：将特定端口流量转发到目标主机或服务

（二）主要工具

1.iptables：传统防火墙工具，命令式操作，功能强大

2.nftables：新一代防火墙工具，更高效、灵活，推荐使用

3.firewalld：动态管理工具，提供图形化接口和API支持

三、iptables/nftables配置

（一）iptables基础操作

1.常用命令格式

iptables[选项]命令[目标]

-选项：-v(详细输出)、-t表名(指定表)

-命令：-A(追加规则)、-I(插入规则)、-R(替换规则)、-D(删除规则)

-目标：ACCEPT(允许)、DROP(丢弃)、REJECT(拒绝)

2.规则匹配字段

|字段|说明|

|-------------|--------------------------|

|-s/-d|源/目的IP地址|

|-p|协议类型(tcp/udp/ip)|

|--dport|目的端口号|

|--sport|源端口号|

|-m|模块匹配(如state,multiport)|

（二）nftables基础操作

1.常用命令格式

nft[选项]命令文件

-选项：-c(检查规则集)、-f(从文件加载)、-p(打印规则)

-命令：add(添加表/链/规则)、delete(删除表/链/规则)、list(显示表/链/规则)

2.规则结构示例

tableinetfilter{

chaininput{

typefilterhookinputpriorityfilter;policyaccept;

iifloaccept

ctstateinvaliddrop

ctstateestablished,relatedaccept

ipsaddr/24accept

tcpdport22accept

reject

}

}

（三）配置步骤

1.查看当前规则

-iptables:`iptables-L-v-n`

-nftables:`nftlistruleset`

2.清除所有规则

-iptables:`iptables-F;iptables-X;iptables-tnat-F;iptables-tnat-X`

-nftables:`nftflushruleset`

3.配置基本规则(示例)

允许本地回环

iptables-AINPUT-ilo-jACCEPT

允许已建立连接

iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT

允许SSH连接

iptables-AINPUT-ptcp--dport22-jACCEPT

拒绝所有其他入站连接

iptables-AINPUT-jDROP

四、实战案例

（一）Web服务器安全配置

1.允许HTTP/HTTPS流量

允许HTTP(80)

iptables-AINPUT-ptcp--dport80-jACCEPT

允许HTTPS(443)

iptables-AINPUT-ptcp--dport443-jACCEPT

2.限制访问频率

iptables-AINPUT-ptcp--dport80-mlimit--limit10/min-jACCEPT

iptables-AIN