答案:通过firewalld和iptables配置防火墙规则,并结合服务绑定限制端口访问。首先启用firewalld或iptables,仅开放必要端口(如22、80),设置默认拒绝策略,再配置SSH、Nginx等服务绑定特定IP,最后使用ss或netstat验证监听状态,实现最小化暴露面,提升服务器安全性。
在Linux系统中,限制服务端口是保障服务器安全的重要手段。通过合理配置,可以防止未授权访问、减少攻击面。实现端口限制主要依赖防火墙工具(如iptables或firewalld)以及服务自身的绑定设置。以下是详细的配置方法。
使用firewalld限制服务端口
firewalld是CentOS/RHEL 7及以上版本默认的防火墙管理工具,支持动态管理规则。
1. 启动并启用firewalld:
systemctl start firewalldsystemctl enable firewalld
2. 查看当前开放的端口:
firewall-cmd --list-all3. 仅允许特定端口(例如只允许SSH 22和HTTP 80):
firewall-cmd --permanent --add-service=sshfirewall-cmd --permanent --add-service=http
firewall-cmd --permanent --remove-service=dhcpv6-client # 移除不需要的服务
4. 拒绝其他所有端口:
默认区域(public)通常默认拒绝未明确允许的流量。确保默认策略为drop或reject:
或保留public区域但清除多余服务:
firewall-cmd --permanent --remove-service=ssh --remove-service=http --add-port=22/tcp --add-port=80/tcp5. 重载配置生效:
firewall-cmd --reload使用iptables限制服务端口
iptables是传统且强大的包过滤工具,适用于大多数Linux发行版。
1. 清空现有规则(谨慎操作):
iptables -Fiptables -X
2. 设置默认策略为DROP:
iptables -P INPUT DROPiptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
3. 允许本地回环接口:
iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
4. 允许已建立的连接:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
5. 开放指定服务端口(如22、80、443):
iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
6. 保存规则(CentOS/RHEL):
service iptables saveUbuntu/Debian用户可安装iptables-persistent:
netfilter-persistent save服务程序绑定指定IP和端口
除了防火墙,还应配置服务本身只监听必要的接口和端口。
1. SSH服务限制:
编辑 /etc/ssh/sshd_config:
ListenAddress 192.168.1.100 # 只监听内网IP,不监听0.0.0.0
重启服务:
systemctl restart sshd2. Web服务(如Nginx):
在配置文件中指定监听地址:
listen 192.168.1.100:80;
server_name example.com;
}
这样即使防火墙配置有误,服务也不会暴露在公网。
检查端口监听状态
配置完成后,验证哪些端口正在监听:
ss -tuln# 或使用 netstat(需安装net-tools)
netstat -tulnp
输出示例:
tcp 0 0 192.168.1.100:22 0.0.0.0:* LISTENtcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
确认敏感服务未绑定到0.0.0.0(所有接口),必要时调整绑定地址。
基本上就这些。关键是结合防火墙和服务配置双重限制,最小化暴露面。定期审查开放端口,及时关闭不用的服务。安全无小事,细节决定成败。
