0

0

Linux防火墙配置混乱_防火墙策略梳理方法

冷炫風刃

冷炫風刃

发布时间:2026-03-01 16:21:11

|

596人浏览过

|

来源于php中文网

原创

明确防火墙后端是管理前提:先用systemctl status确认firewalld或iptables是否活跃,再结合lsmod判断nftables支持;按数据流向分链归类(input/output/forward),用状态跟踪精简规则,保存并验证规则有效性。

linux防火墙配置混乱_防火墙策略梳理方法

Linux防火墙配置容易混乱,核心原因在于规则叠加、链表顺序敏感、状态跟踪不一致,以及iptables与firewalld混用。梳理策略的关键不是重写所有规则,而是建立可读、可验证、可回滚的结构化管理方式。

明确当前使用的防火墙后端

先确认系统实际生效的是哪套机制,避免操作错层:

  • 运行 systemctl status firewalld 查看 firewalld 是否活跃;若显示 active,则它正接管 iptables 规则(即使 iptables 命令能执行,也可能被 firewalld 覆盖)
  • 运行 systemctl status iptables 或检查 /etc/sysconfig/iptables 文件是否存在,判断是否为传统 iptables 模式(常见于 CentOS 6/RHEL 6)
  • 运行 lsmod | grep nf_tables 可辅助判断内核是否启用 nftables 支持;现代发行版(如 RHEL 8+/Ubuntu 20.04+)默认使用 nftables 后端,但 firewalld 仍可兼容调用

按数据流向分链归类,不堆砌规则

把规则对应到明确的网络路径上,避免在 INPUT 链里塞转发逻辑、或在 FORWARD 链里管本机服务:

灵枢SparkVertex
灵枢SparkVertex

零代码AI应用开发平台

下载
  • INPUT 链:只处理目的地是本机的数据包(如 SSH、HTTP 服务监听)
  • OUTPUT 链:只处理本机主动发出的数据包(如 curl 外部 API、yum 更新)
  • FORWARD 链:仅用于网关/路由场景,且必须配合 net.ipv4.ip_forward = 1 内核参数启用
  • 若无 NAT 需求,nat 表(PREROUTING/POSTROUTING)可清空不查;若发现 nat 表有规则却未做端口映射或 SNAT,大概率是历史残留

用状态跟踪替代冗余放行

避免为每个服务单独加“允许响应包”规则。正确做法是依赖连接状态,大幅精简规则数:

  • 在 INPUT 链开头插入:iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  • 后续只需定义“新连接”的白名单,例如:-A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
  • 这样既允许已建立连接的返回流量,又防止非法新连接绕过端口限制

保存并验证规则有效性

临时命令不等于持久生效,且规则顺序直接影响结果:

  • iptables 规则重启即失效,需执行:iptables-save > /etc/sysconfig/iptables(CentOS/RHEL)或 iptables-save | sudo tee /etc/iptables/rules.v4(Debian/Ubuntu)
  • firewalld 修改后务必运行:firewall-cmd --runtime-to-permanent
  • 验证时不用只 ping,用 iptables -L -v -n 查看各规则命中计数;某条 DROP 规则计数暴涨,说明前面漏放或顺序错了

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
curl_exec
curl_exec

curl_exec函数是PHP cURL函数列表中的一种,它的功能是执行一个cURL会话。给大家总结了一下php curl_exec函数的一些用法实例,这个函数应该在初始化一个cURL会话并且全部的选项都被设置后被调用。他的返回值成功时返回TRUE, 或者在失败时返回FALSE。

452

2023.06.14

linux常见下载安装工具
linux常见下载安装工具

linux常见下载安装工具有APT、YUM、DNF、Snapcraft、Flatpak、AppImage、Wget、Curl等。想了解更多linux常见下载安装工具相关内容,可以阅读本专题下面的文章。

183

2023.10.30

堆和栈的区别
堆和栈的区别

堆和栈的区别:1、内存分配方式不同;2、大小不同;3、数据访问方式不同;4、数据的生命周期。本专题为大家提供堆和栈的区别的相关的文章、下载、课程内容,供大家免费下载体验。

429

2023.07.18

堆和栈区别
堆和栈区别

堆(Heap)和栈(Stack)是计算机中两种常见的内存分配机制。它们在内存管理的方式、分配方式以及使用场景上有很大的区别。本文将详细介绍堆和栈的特点、区别以及各自的使用场景。php中文网给大家带来了相关的教程以及文章欢迎大家前来学习阅读。

599

2023.08.10

点击input框没有光标怎么办
点击input框没有光标怎么办

点击input框没有光标的解决办法:1、确认输入框焦点;2、清除浏览器缓存;3、更新浏览器;4、使用JavaScript;5、检查硬件设备;6、检查输入框属性;7、调试JavaScript代码;8、检查页面其他元素;9、考虑浏览器兼容性。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

196

2023.11.24

http500解决方法
http500解决方法

http500解决方法有检查服务器日志、检查代码错误、检查服务器配置、检查文件和目录权限、检查资源不足、更新软件版本、重启服务器或寻求专业帮助等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

482

2023.11.09

http请求415错误怎么解决
http请求415错误怎么解决

解决方法:1、检查请求头中的Content-Type;2、检查请求体中的数据格式;3、使用适当的编码格式;4、使用适当的请求方法;5、检查服务器端的支持情况。更多http请求415错误怎么解决的相关内容,可以阅读下面的文章。

448

2023.11.14

HTTP 503错误解决方法
HTTP 503错误解决方法

HTTP 503错误表示服务器暂时无法处理请求。想了解更多http错误代码的相关内容,可以阅读本专题下面的文章。

3151

2024.03.12

Golang 测试体系与代码质量保障:工程级可靠性建设
Golang 测试体系与代码质量保障:工程级可靠性建设

Go语言测试体系与代码质量保障聚焦于构建工程级可靠性系统。本专题深入解析Go的测试工具链(如go test)、单元测试、集成测试及端到端测试实践,结合代码覆盖率分析、静态代码扫描(如go vet)和动态分析工具,建立全链路质量监控机制。通过自动化测试框架、持续集成(CI)流水线配置及代码审查规范,实现测试用例管理、缺陷追踪与质量门禁控制,确保代码健壮性与可维护性,为高可靠性工程系统提供质量保障。

24

2026.02.28

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.9万人学习

Git 教程
Git 教程

共21课时 | 3.9万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号