Linux 防火墙入门教程 | Linux 中国

Linux 防火墙入门教程Linux 防火墙是保护系统免受网络入侵的关键工具，通过配置规则可控制进出网络的流量。本文以 firewalld 为例，介绍其基本操作和核心概念。一、安装与启用 firewalld检查是否已安装大多数发行版（如 Fedora、CentOS、RHEL）默认安装 firewalld。Debian/Ubuntu 用户需手动安装：sudo add-apt-repository universe # Ubuntu 启用 universe 仓库sudo apt install firewalld停用其他防火墙（如 ufw）Ubuntu 用户若需切换至 firewalld，需先禁用 ufw：sudo systemctl disable ufw启用并启动 firewalldsudo systemctl enable --now firewalld二、理解防火墙域（Zone）firewalld 通过域简化规则管理，每个域代表一组预设规则。默认包含以下域：trusted：允许所有连接（仅限完全信任的环境，如家庭内网）。home/work/internal：接受大部分连接，但排除预期不活跃的端口（适合家庭或办公环境）。public：仅允许选定的安全连接（适用于咖啡馆、机场等公共网络）。dmz：用于公开访问的服务器（隔离区，限制内网访问）。external：启用地址伪装，仅接受选定的传入连接（如 SSH）。block：拒绝所有传入连接，返回 icmp-host-prohibited 错误。drop：丢弃所有传入包，无任何回复（极端安全设置）。查看所有域：ls /usr/lib/firewalld/zones/ # 系统预定义域cat /usr/lib/firewalld/zones/FedoraWorkstation.xml # 示例：查看域规则三、基本操作查看当前活跃域sudo firewall-cmd --get-active-zones输出示例：FedoraWorkstation interfaces: wlp61s0修改接口所属域将 WiFi 接口 wlp61s0 切换至 public 域：sudo firewall-cmd --change-interface=wlp61s0 --zone=public设置默认域sudo firewall-cmd --set-default-zone=public四、服务与端口管理允许服务通过防火墙例如开放 SSH 服务：sudo firewall-cmd --add-service=ssh # 临时生效sudo firewall-cmd --runtime-to-permanent # 永久保存开放特定端口允许 TCP 端口 8080：sudo firewall-cmd --add-port=8080/tcp查看已允许的服务/端口sudo firewall-cmd --list-services # 查看服务sudo firewall-cmd --list-ports # 查看端口五、高级配置自定义域规则编辑域配置文件（如 /etc/firewalld/zones/custom.xml），添加自定义服务或端口后重载：sudo firewall-cmd --reload富规则（Rich Rules）实现更精细的控制（如限制 IP 访问）：sudo firewall-cmd --add-rich-rule=rule family="ipv4" source address="192.168.1.100" reject日志记录启用日志以监控被拒绝的连接：sudo firewall-cmd --add-service=ssh --set-log-denied=on六、实用技巧临时规则：默认重启后失效，添加 --permanent 参数可永久保存。备份配置：导出当前规则至文件：sudo firewall-cmd --list-all firewall_backup.txt恢复默认：重置所有规则：sudo firewall-cmd --reload # 重载配置sudo firewall-cmd --complete-reload # 彻底重启（慎用）七、常见场景示例家庭网络：使用 home 域，允许 SSH 和 Samba 服务。公共 Wi-Fi：切换至 public 域，仅开放 HTTPS 和 SSH。服务器防护：结合 dmz 域和富规则，限制特定 IP 访问管理端口。总结：firewalld 通过域和动态规则简化了 Linux 防火墙管理。掌握基础命令后，可进一步探索富规则和日志功能以提升安全性。建议参考官方文档或下载备忘单（需注册）快速查阅命令：备忘单链接