Linux 如何设置防火墙
防火墙是每个当代计算机系统不可缺少的组成部分,它保障了网络的安全,保护系统不被非法访问。在这篇文章中,我们将深入了解Linux防火墙的领域,并学习如何配置一个防火墙。
在我们涉及到在Linux中建立防火墙的技术细节之前,让我们澄清一下什么是防火墙以及为什么它如此重要!
防火墙是一种网络安全设备,根据预定的安全规则监控和限制网络流量。防火墙的主要功能是阻止对计算机系统或网络的未经授权的访问,同时仍然允许授权的访问。它作为一个看门人,控制谁和什么可以进入和离开网络。
在Linux中配置防火墙有两个主要选择:iptables和firewalld。
iptables “是一个用于管理Linux内核防火墙的命令行程序。多年来,它是Linux服务器的默认防火墙,至今仍被广泛使用。
firewalld “是一种更现代的管理Linux中防火墙的方法。它是一个动态守护程序,为管理防火墙规则提供了一个D-Bus接口,它被许多Linux发行版作为默认防火墙使用。
现在让我们深入了解在Linux中使用iptables和firewalld设置防火墙所需的步骤。
使用 “iptables “来创建一个防火墙
要开始设置iptables防火墙,首先要确保它已经安装在你的系统上。尽管iptables存在于大多数Linux发行版中,但最好还是仔细检查一下。
打开终端,输入以下命令,看看你的系统上是否安装了iptables:sudo iptables -L
如果iptables还没有安装在你的机器上,使用下面的命令来安装它:sudo apt-get install iptables
一旦你确认iptables已经安装在你的系统上,你就可以开始设置防火墙。
iptables配置的最初步骤是为入站和出站流量建立默认策略。默认策略决定了对不符合防火墙中任何规则的数据包的处理方式。
要将默认策略设置为放弃所有传入和传出的流量,请运行以下命令
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
一旦你设置了默认策略,你就可以开始添加规则以允许或阻止特定类型的流量。向iptables添加规则的基本语法如下 –
sudo iptables -A [CHAIN] -p [PROTOCOL] --dport [PORT] -j [ACTION]
让我们来分解一下规则的组成部分 –
CHAIN – 这指定了防火墙中的链,该规则将被添加到其中。iptables的三个默认链是INPUT、OUTPUT和FORWARD。
PROTOCOL – 这指定了流量的协议。常见的协议包括TCP、UDP和ICMP。
PORT – 这指定了流量的端口号。
ACTION – 这指定了对符合规则的流量应采取的措施。常见的行动包括:ACCEPT、DROP和REJECT。
例如,下面的命令将在INPUT链上接受传入的SSH流量(端口22)。
sudo iptables -A INPUT -p tcp —dport 22 -j ACCEPT
Similarly, the following command would enable OUTPUT chain HTTP traffic (port 80) −
sudo iptables -A OUTPUT -p tcp —dport 80 -j ACCEPT
使用 “firewalld “来创建防火墙
在Linux中设置防火墙的另一个选择是使用firewalld。Firewalld是一个现代动态守护程序,被一些Linux发行版,如CentOS、Fedora和Red Hat Enterprise Linux,用作默认的防火墙管理工具。
用firewalld配置防火墙的第1步是看它是否已经安装在你的系统上。
大多数最近的Linux发行版都预装了firewalld,但是你可以通过在终端输入以下命令来验证它的存在
sudo firewall-cmd —state
如果你的机器上还没有安装firewalld,使用下面的命令来安装它: sudo yum install firewalld
一旦你确认Firewalld已经安装在你的系统上,你就开始配置防火墙。
配置firewalld的第1步是检查默认区域。默认区域是一组预定义的规则,管理系统上允许的流量。要检查默认区域,请运行以下命令
sudo firewall-cmd --get-default-zone
默认情况下,默认区域被设置为 “公共”。你可以通过运行以下命令来改变默认区域
sudo firewall-cmd --set-default-zone=zone
其中 “zone “是你想设置为默认的区域名称。
下一步是向防火墙添加规则,允许或阻止特定类型的流量。Firewalld使用一个叫做 “服务 “的概念,将相关的端口和协议组合在一起。一些常用的服务包括 “http”、”https”、”ssh “和 “smtp”。
To allow incoming HTTP traffic, for example, you can use the following command −
sudo firewall-cmd --add-service=http --permanent
“–permanent “选项使规则成为永久性的,所以它在重启后仍然存在。如果你不使用”–permanent “选项,当系统重新启动时,该规则将被删除。
你还可以通过使用”–add-port “选项来允许特定的端口。例如,下面的命令允许SSH的22号端口的传入流量:
sudo firewall-cmd --add-port=22/tcp --permanent
在添加必要的规则后,确保重新加载防火墙,以便使变化生效。
sudo firewall-cmd --reload