linux 安装 防火墙

在Linux系统中，安装防火墙可以通过多种方式实现，常见的防火墙管理工具包括iptables、firewalld等。

一、iptables

1. 基础概念
   • iptables是Linux系统中的一个强大的防火墙工具，它基于规则表和规则链来控制网络流量。规则表包含了一系列的规则链，而规则链则包含了具体的过滤规则。
   • 规则表主要有filter（用于过滤数据包）、nat（用于网络地址转换）、mangle（用于修改数据包标记）和raw（用于处理原始数据包）等。
   • 规则链包括INPUT（处理进入本机的数据包）、OUTPUT（处理从本机发出的数据包）、FORWARD（处理通过本机转发的数据包）等。

• 优势
  • 功能强大且灵活，可以精确地控制网络流量的过滤、转发和地址转换等操作。
  • 对于有经验的网络管理员来说，可以进行非常细致的网络访问控制定制。
• 应用场景
  • 在服务器环境中，用于限制外部对特定服务的访问，例如只允许特定IP地址访问SSH服务。
  • 在网络边界设备上，进行网络地址转换（NAT）以实现内部网络与外部网络的通信。
• 安装（在大多数Linux发行版中默认已安装）
  • 如果未安装，可以使用包管理器进行安装。例如，在基于Debian的系统（如Ubuntu）中：
    • sudo apt -y install iptables
  • 在基于Red Hat的系统（如CentOS）中：
    • sudo yum -y install iptables - services
• 基本使用示例（设置简单的INPUT链规则，拒绝所有外部连接除SSH）
  • 首先允许SSH连接（假设SSH端口为22）：
    • iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  • 然后拒绝所有其他入站连接：
    • iptables -A INPUT -j DROP
  • 要保存规则以便系统重启后仍然有效（在CentOS系统中）：
    • service iptables save

二、firewalld

1. 基础概念
   • firewalld是一个动态管理防火墙的工具，它提供了易于使用的接口来管理防火墙规则。它使用区域（zones）的概念来管理不同类型的网络连接，例如public（公共区域）、internal（内部区域）等。
   • 每个区域都有自己的规则集，可以根据不同的网络需求进行配置。

• 优势
  • 界面相对友好，对于不太熟悉复杂防火墙规则的用户来说更容易上手。
  • 支持动态加载和卸载防火墙规则，不需要重启整个防火墙服务。
• 应用场景
  • 在桌面系统和中小型企业服务器环境中，快速设置基本的网络访问控制。
  • 在多网络接口的设备上，方便地根据不同接口的网络类型（如内部局域网、外部互联网）设置不同的防火墙策略。
• 安装（在大多数Linux发行版中默认已安装）
  • 如果未安装，在基于Debian的系统中：
    • sudo apt -y install firewalld
  • 在基于Red Hat的系统中：
    • sudo yum -y install firewalld
• 基本使用示例（开放HTTP和HTTPS服务端口）
  • 启动firewalld服务：
    • 在CentOS系统中：sudo systemctl start firewalld
    • 在Ubuntu系统中：sudo service firewalld start
  • 开放HTTP（80端口）和HTTPS（443端口）：
    • sudo firewall - cmd --permanent --add - service=http
    • sudo firewall - cmd --permanent --add - service=https
  • 重新加载防火墙规则使设置生效：
    • sudo firewall - cmd --reload