Linux防火墙入门级教程——iptables、firewalld配置详解

在Linux系统中，防火墙是用于控制数据包进出的一种安全机制，主要用于保护内网的安全。常见的Linux防火墙类型主要有iptables和firewalld两种。iptables是一种静态防火墙，早期在Linux系统中广泛使用，其配置文件位于/etc/sysconfig/iptables中。而firewalld则是一种动态防火墙，目前已经取代了iptables，配置文件位于/usr/lib/firewalld和/etc/firewalld中。
iptables防火墙配置
查看当前防火墙规则：
iptables -L -n
清空当前的防火墙规则：
iptables -F
允许特定端口的入站连接：
iptables -A INPUT -p <协议> --dport <端口号> -j ACCEPT
例如，允许TCP协议的80端口：
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
允许特定IP地址范围的入站连接：
iptables -A INPUT -s <IP地址/子网掩码> -j ACCEPT
例如，允许来自192.168.0.0/24子网的连接：
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
阻止所有入站连接：
iptables -P INPUT DROP
保存配置：
service iptables save
firewalld防火墙配置
查看当前防火墙规则：
firewall-cmd --list-all
允许特定端口的入站连接：
firewall-cmd --zone=public --add-port=<端口号>/tcp --permanent
例如，允许TCP协议的80端口：
firewall-cmd --zone=public --add-port=80/tcp --permanent
允许特定IP地址范围的入站连接：
firewall-cmd --zone=public --add-source=<IP地址/子网掩码> --permanent
例如，允许来自192.168.0.0/24子网的连接：
firewall-cmd --zone=public --add-source=192.168.0.0/24 --permanent
阻止所有入站连接：

• firewall-cmd --zone=public --set-default=drop
  重载防火墙配置：
  firewall-cmd —reload
  注意事项：
• iptables和firewalld不是真正的防火墙，而是用来定义防火墙规则功能的“防火墙管理工具/程序”。真正的防火墙执行者是位于内核的netfilter，只不过firwalld和iptables的使用方法以及效果等不同。
• 在配置防火墙时，不建议两种配置方法结合使用（建议只使用其中的一种）。
  p在Linux系统中，防火墙是保护系统安全的重要工具。通过合理配置iptables或firewalld，可以有效地控制数据包的进出，提高系统的安全性。同时，也需要注意在使用过程中避免过度限制导致无法正常访问网络资源的情况发生。因此，在配置防火墙时需要谨慎操作，并根据实际情况进行灵活调整。