服务器防火墙iptables/firewalld基础规则配置详解?

在服务器的安全防护中，防火墙是不可或缺的关键组成部分。它能够有效地防止恶意攻击、数据泄露和未经授权的访问。对于Linux系统，iptables和firewalld是最常用的两种防火墙工具。虽然这两者有些不同，但它们的功能都是为服务器提供一个可靠的安全屏障。本文将深入探讨iptables和firewalld的基础规则配置，帮助你理解如何通过这两种防火墙工具来加强服务器的安全性。

1. iptables基础概述

iptables是Linux系统中的传统防火墙工具，提供了强大的包过滤功能。它基于规则集进行数据包的检查和转发。iptables通过三个链(INPUT、OUTPUT、FORWARD)和表(filter、nat、mangle等)来控制数据包的流动。通过配置不同的规则，用户可以控制哪些网络流量被允许进入或离开系统。

常见iptables链

INPUT链：负责控制进入本地系统的数据包。

OUTPUT链：负责控制从本地系统发出的数据包。

FORWARD链：负责控制经过本地系统的数据包(通常用于路由功能)。

常见iptables操作

ACCEPT：接受数据包。

DROP：丢弃数据包。

REJECT：拒绝数据包，但返回信息给发送者。

2. firewalld基础概述

firewalld是Red Hat系列Linux操作系统中使用的防火墙管理工具，相比iptables，firewalld更侧重于简化防火墙的管理和配置。它采用了动态管理的方式，可以通过命令行或图形界面进行实时配置，支持区域化管理，使得不同的网络环境可以有不同的防火墙规则。

firewalld使用了“区域”概念，并且每个区域代表着不同的信任级别。例如，public、home、dmz等。用户可以根据网络环境将系统接口分配到不同的区域，并设置相应的防火墙规则。

3. 如何配置iptables防火墙规则

iptables的配置非常灵活，适用于对网络安全有较高要求的用户。以下是一些常见的iptables规则配置。

基本规则配置

允许来自特定IP地址的流量：

iptables -A INPUT -s 192.168.1.100 -j ACCEPT

该规则允许IP地址为192.168.1.100的主机访问本地服务器。

拒绝某个IP地址的访问：

iptables -A INPUT -s 192.168.1.100 -j DROP

该规则拒绝来自192.168.1.100的流量。

允许SSH(22端口)访问：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

限制访问特定端口：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -j DROP

这段规则允许HTTP(80端口)和HTTPS(443端口)流量，并丢弃其他不必要的流量。

保存iptables规则

配置完iptables规则后，可以使用以下命令保存规则，防止重启后丢失：

service iptables save

4. 如何配置firewalld防火墙规则

firewalld通过命令行工具firewall-cmd来进行配置，以下是一些常见的规则配置方法。

查看当前防火墙状态

firewall-cmd --state

该命令可以查看防火墙当前的状态，返回running表示防火墙正在运行。

添加允许的服务

firewall-cmd --zone=public --add-service=http --permanent

firewall-cmd --zone=public --add-service=https --permanent

这两条命令将允许HTTP和HTTPS流量，并将规则永久保存。

开放特定端口

firewall-cmd --zone=public --add-port=8080/tcp --permanent

该命令允许TCP协议的8080端口访问。

重新加载防火墙配置

firewall-cmd --reload

修改完firewalld配置后，需要使用该命令重新加载配置，使更改生效。

5. iptables与firewalld的比较

特性 iptables firewalld

配置方式 命令行手动设置规则 动态管理，支持命令行和GUI

使用的链和表 基于链和表的复杂配置 基于区域的简化管理

适用场景 高度自定义配置需求，复杂的防火墙规则管理 简化管理，适合快速部署和日常维护

支持的功能 高度灵活，支持复杂的防火墙策略 支持动态配置，易于与其他服务集成

6. 案例：配置防火墙防止DDoS攻击

在一次企业网站遇到DDoS攻击时，管理员使用iptables和firewalld进行了紧急配置，迅速缓解了流量冲击。

使用iptables设置限流规则：

iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/s -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP

这条规则限制了每秒50个请求，超过的请求会被丢弃。

使用firewalld配置限制：

firewall-cmd --zone=public --add-port=80/tcp --permanent

firewall-cmd --reload

通过这些措施，管理员有效地限制了非法流量的访问，确保了正常用户能够顺利访问网站。

结语：加强服务器安全，从防火墙配置开始

无论是使用iptables还是firewalld，防火墙的配置都在服务器安全管理中占据着核心地位。通过合适的规则配置，用户能够有效地控制进出服务器的流量，减少恶意攻击的风险。随着互联网安全形势日益严峻，掌握防火墙的基本配置技巧，是每个系统管理员和开发人员必须具备的基本能力。