Linux云服务器防火墙设置全攻略：从入门到精通

一、防火墙基础概念

在开始配置之前，我们需要了解几个核心概念：

• 防火墙（Firewall）：网络安全系统，监控并控制进出网络的数据流
• iptables：Linux内核内置的包过滤系统
• firewalld：Red Hat系列发行版提供的动态防火墙管理工具
• TCP/UDP端口：网络通信的入口点

二、使用iptables配置防火墙

1. 检查iptables状态

sudo iptables -L -n

2. 基本规则设置

以下是一些常用命令示例：

# 允许已建立的连接
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许SSH连接（端口22）
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许HTTP/HTTPS
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 默认拒绝所有其他入站连接
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

3. 保存iptables规则

在Ubuntu/Debian上：

sudo apt-get install iptables-persistent
sudo netfilter-persistent save

三、使用firewalld配置防火墙（CentOS/RHEL）

1. 检查firewalld状态

sudo systemctl status firewalld

2. 基本操作命令

# 启动firewalld
sudo systemctl start firewalld

# 设置开机自启
sudo systemctl enable firewalld

# 查看当前区域配置
sudo firewall-cmd --list-all

3. 添加服务/端口

# 添加HTTP服务
sudo firewall-cmd --permanent --add-service=http

# 添加自定义端口
sudo firewall-cmd --permanent --add-port=8080/tcp

# 重新加载配置
sudo firewall-cmd --reload

四、高级防火墙配置技巧

1. 限制SSH访问IP

# iptables方式
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT

# firewalld方式
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="ssh" accept'

2. 防止DDoS攻击

# 限制同一IP的连接数
sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j DROP

# 限制新建连接速率
sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

3. 端口转发设置

# 将外部8080端口转发到内部80端口
sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

五、常见问题排查

• 无法连接服务器：检查是否误封了SSH端口，可通过云服务商的控制台恢复访问
• 服务不可用：确认相关端口已在防火墙中开放
• 规则不生效：检查规则顺序，确保没有被前面的规则拦截
• 配置丢失：确保已正确保存防火墙规则

六、安全最佳实践

1. 仅开放必要的端口和服务
2. 定期审计防火墙规则
3. 为关键服务设置IP白名单
4. 保持系统和防火墙软件更新
5. 配置日志记录，监控异常连接