在Linux系统中，防火墙是保护系统免受网络攻击的重要工具。常见的防火墙工具包括 iptables、nftables、ufw（Ubuntu/Debian）和 firewalld（RHEL/CentOS）。以下是详细的防火墙配置指南：

一、基础工具选择

1. iptables
2. 传统Linux防火墙工具，直接操作内核的Netfilter框架。
3. 适合手动配置复杂规则，但需要熟悉语法。
4. ufw（Uncomplicated Firewall）
5. 为iptables提供简化接口，适合新手和快速配置（Ubuntu默认工具）。
6. firewalld
7. RHEL/CentOS/Fedora的默认动态防火墙管理工具，支持“区域”概念，适合服务器多网卡场景。
8. nftables
9. iptables的替代品，语法更简洁，性能更好（推荐新系统使用）。

二、通用防火墙配置原则

1. 默认拒绝所有流量
2. bash
3. 复制
4. 下载
5. # iptables/nftables iptables -P INPUT DROP # 默认拒绝所有入站 iptables -P FORWARD DROP # 默认拒绝转发 iptables -P OUTPUT ACCEPT # 允许所有出站（根据需求调整）
6. 按需开放端口
7. 仅允许必要的服务（如SSH、HTTP/HTTPS）。
8. 限制源IP范围
9. 仅允许特定IP或网段访问敏感端口（如数据库、管理接口）。
10. 防范常见攻击
11. 阻止无效数据包、SYN洪水攻击等。

三、配置示例

1. 使用 ufw（Ubuntu/Debian）

• 启用并初始化
• bash
• 复制
• 下载
• ufw enable # 启用防火墙 ufw default deny # 默认拒绝所有入站
• 开放基础服务
• bash
• 复制
• 下载
• ufw allow 22/tcp # 允许SSH ufw allow 80,443/tcp # 允许HTTP/HTTPS ufw allow from 192.168.1.0/24 # 允许局域网访问
• 拒绝特定IP
• bash
• 复制
• 下载
• ufw deny from 10.0.0.5 # 封禁IP
• 查看规则
• bash
• 复制
• 下载
• ufw status numbered # 显示带编号的规则列表
• 删除规则
• bash
• 复制
• 下载
• ufw delete 3 # 删除编号为3的规则

2. 使用 firewalld（RHEL/CentOS）

• 启动服务
• bash
• 复制
• 下载
• systemctl start firewalld systemctl enable firewalld
• 配置区域
• bash
• 复制
• 下载
• firewall-cmd --zone=public --add-service=ssh --permanent # 允许SSH firewall-cmd --zone=public --add-port=80/tcp --permanent # 允许HTTP firewall-cmd --zone=public --add-source=192.168.1.0/24 --permanent # 允许网段 firewall-cmd --reload # 重载配置
• 限制IP访问
• bash
• 复制
• 下载
• firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.5" reject' --permanent
• 查看配置
• bash
• 复制
• 下载
• firewall-cmd --list-all # 显示当前区域规则

3. 使用 iptables（通用）

• 开放SSH和Web服务
• bash
• 复制
• 下载
• iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许SSH iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT # 允许HTTP/HTTPS
• 允许本地回环
• bash
• 复制
• 下载
• iptables -A INPUT -i lo -j ACCEPT # 允许本地通信
• 防止SYN洪水攻击
• bash
• 复制
• 下载
• iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
• 保存规则
• bash
• 复制
• 下载
• iptables-save > /etc/iptables/rules.v4 # 持久化规则（Debian） service iptables save # CentOS 6

4. 使用 nftables（推荐新系统）

• 创建规则集
• bash
• 复制
• 下载
• nft add table inet my_table nft add chain inet my_table my_input { type filter hook input priority 0 \; }
• 允许SSH和HTTP
• bash
• 复制
• 下载
• nft add rule inet my_table my_input tcp dport 22 accept nft add rule inet my_table my_input tcp dport 80,443 accept
• 默认拒绝
• bash
• 复制
• 下载
• nft add rule inet my_table my_input drop
• 保存配置
• bash
• 复制
• 下载
• nft list ruleset > /etc/nftables.conf # 导出规则 systemctl enable nftables

四、高级防护配置

1. 防止端口扫描

• 使用iptables限制连接频率：
• bash
• 复制
• 下载
• iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP

2. 阻止无效数据包

• 过滤非法流量：
• bash
• 复制
• 下载
• iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

3. 日志记录

• 记录被拒绝的连接：
• bash
• 复制
• 下载
• iptables -A INPUT -j LOG --log-prefix "DROPPED: "

五、故障排查

1. 检查规则是否生效
2. bash
3. 复制
4. 下载
5. iptables -L -v -n # 查看iptables规则 firewall-cmd --list-all # 查看firewalld配置 nft list ruleset # 查看nftables规则
6. 监控日志
7. bash
8. 复制
9. 下载
10. tail -f /var/log/syslog # Debian/Ubuntu journalctl -u firewalld -f # RHEL/CentOS
11. 测试端口连通性
12. bash
13. 复制
14. 下载
15. nc -zv 192.168.1.100 22 # 测试SSH端口 telnet 192.168.1.100 80 # 测试HTTP端口

六、注意事项

• 避免锁定自己：在配置规则前，确保已开放SSH端口或保留当前会话。
• 持久化规则：使用iptables-save或firewalld --permanent保存配置，防止重启失效。
• 结合其他工具：使用fail2ban动态封禁恶意IP，或SELinux/AppArmor增强访问控制。

通过合理配置防火墙，可以显著提升Linux系统的网络安全性。根据实际需求选择工具，并定期审计规则有效性。