Linux 防火墙

iptables

# 查看规则
iptables -L -n            # 查看所有规则
iptables -L -n --line-numbers  # 带行号
iptables -t nat -L         # 查看 NAT 表
iptables -t filter -L       # 查看 filter 表

# 清除规则
iptables -F                # 清空所有规则
iptables -X                # 删除用户自定义链
iptables -Z                # 计数器归零

# 默认策略
iptables -P INPUT DROP      # 默认拒绝 INPUT
iptables -P OUTPUT ACCEPT  # 默认允许 OUTPUT
iptables -P FORWARD DROP   # 默认拒绝 FORWARD

# 添加规则
# -A 追加到链尾
# -I 插入到链头
iptables -A INPUT -p tcp --dport 80 -j ACCEPT  # 允许 80 端口
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT  # 允许 IP 段

# 删除规则
iptables -D INPUT 3        # 删除第3条规则
iptables -D INPUT -p tcp --dport 80 -j ACCEPT

# 保存规则（CentOS）
service iptables save
# 或
iptables-save > /etc/sysconfig/iptables

# 保存规则（Ubuntu）
iptables-save > /etc/iptables/rules.v4

常用参数：

参数	说明
-A	追加规则
-D	删除规则
-I	插入规则
-L	列出规则
-F	清空规则
-P	设置默认策略
-p	协议
--dport	目标端口
-s	源地址
-d	目标地址
-j	动作

firewalld（CentOS 7+）

# 查看状态
firewall-cmd --state
firewall-cmd --list-all

# 常用命令
firewall-cmd --add-port=80/tcp --permanent     # 开放端口
firewall-cmd --add-service=http --permanent    # 开放服务
firewall-cmd --remove-port=80/tcp --permanent  # 关闭端口
firewall-cmd --reload                          # 重载配置
firewall-cmd --list-ports                     # 查看已开放端口
firewall-cmd --list-services                  # 查看已开放服务

# 常用服务
firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent
firewall-cmd --add-port=8080/tcp --permanent

# 端口转发
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 --permanent

ufw（Ubuntu）

# 启用/禁用
ufw enable
ufw disable
ufw status verbose

# 允许/拒绝
ufw allow 80/tcp            # 开放端口
ufw deny 22/tcp             # 拒绝端口
ufw allow from 192.168.1.0/24  # 允许 IP 段
ufw delete allow 80/tcp     # 删除规则

# 应用场景
ufw allow from 10.0.0.0/8 to any port 22  # 允许内网 SSH
ufw allow 80,443/tcp        # 同时开放多个端口
ufw reset                    # 重置所有规则

[[返回 Linux 首页|../index]]