如何使用iptables或者firewalld配置Linux系统的防火墙策略

在网络安全中，防火墙是一种关键的安全设备，用于保护计算机网络免受恶意攻击和未经授权的访问。在Linux系统中，我们可以使用iptables或者firewalld来配置防火墙策略。本文将介绍如何使用这两种工具来配置Linux系统的防火墙策略，包括基本概念、常用命令和示例。

什么是iptables和firewalld

iptables

iptables是Linux系统上一个基于内核级别的包过滤系统，它可以拦截和处理网络数据包。通过配置iptables，用户可以定义一系列规则来控制进出网络的数据包。

firewalld

firewalld是一个动态网络防火墙管理器，它提供了更加用户友好的配置界面和管理工具。与iptables不同的是，firewalld支持动态更新规则，并且可以在不重启防火墙的情况下应用新的规则。

基本概念

表（Tables）

iptables使用一系列表来存储规则，包括filter表、nat表和mangle表等。filter表用于过滤数据包，nat表用于网络地址转换，mangle表用于修改数据包。

链（Chains）

每个表中包含若干个链，用于存储具体的操作规则。常见的链包括INPUT、OUTPUT和FORWARD等。

规则（Rules）

规则是定义在链中的操作指令，用于控制数据包的流向和处理方式。

Zone

firewalld使用Zone来区分不同的网络环境，例如public、internal、external等。每个Zone内包含预定义的规则，用户可以根据需要进行定制。

使用iptables配置防火墙策略

常用命令

- `iptables -A`：向指定链中添加规则

- `iptables -D`：从指定链中删除规则

- `iptables -L`：列出当前规则

- `iptables -P`：设置默认策略

- `iptables -F`：清空指定链中的所有规则

- `iptables-save`：保存当前规则

- `iptables-restore`：恢复已保存的规则

实例

允许特定端口的数据包通过

如果要允许TCP端口80的数据包通过，可以使用以下命令：

```bash
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
```

允许特定IP范围的数据包通过

如果要允许来自192.168.1.0/24网段的数据包通过，可以使用以下命令：

```bash
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
```

拒绝特定IP的数据包

如果要拒绝来自IP地址为192.168.1.100的数据包，可以使用以下命令：

```bash
iptables -A INPUT -s 192.168.1.100 -j DROP
```

使用firewalld配置防火墙策略

常用命令

- `firewall-cmd --zone`：指定操作的Zone

- `firewall-cmd --add-service`：添加指定服务

- `firewall-cmd --add-port`：添加指定端口

- `firewall-cmd --remove-service`：移除指定服务

- `firewall-cmd --remove-port`：移除指定端口

- `firewall-cmd --list-all`：列出所有规则

实例

添加HTTP服务

要添加HTTP服务到public Zone，可以使用以下命令：

```bash
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload
```

添加允许端口

要允许TCP端口8080通过external Zone，可以使用以下命令：

```bash
firewall-cmd --zone=external --add-port=8080/tcp --permanent
firewall-cmd --reload
```

移除服务

要从public Zone中移除SSH服务，可以使用以下命令：

```bash
firewall-cmd --zone=public --remove-service=ssh --permanent
firewall-cmd --reload
```

本文介绍了如何使用iptables和firewalld来配置Linux系统的防火墙策略。通过了解基本概念和常用命令，并结合具体实例进行演示，希望读者能够掌握如何灵活地利用这两种工具来保护计算机网络安全。在实际应用中，根据具体需求和网络环境，用户可以选择合适的工具来配置防火墙策略，从而提高系统安全性。

最后

欢迎加入我们的嵌入式学习群！作为这个群的一员，你将有机会与嵌入式系统领域的专业人士和爱好者们交流、分享经验和学习资源。群内涵盖了各种嵌入式系统的应用和开发，无论你是初学者还是经验丰富的专业人士，都能在这里找到志同道合的伙伴和有益的互动。无论你是对物联网、智能家居、工业自动化等领域感兴趣，还是希望分享你自己的项目和经验，我们的群都会为你提供一个广阔的交流平台。

更多学习资源在这里：扫码进群领资料