溫馨提示×

Debian防火墻如何自定義規則集

小樊
48
2025-09-11 09:59:47
欄目: 智能運維

Debian可通過iptables、nftablesufw自定義防火墻規則集,以下是具體方法及示例:

一、使用iptables(底層工具,適合高級配置)

1. 基礎操作

  • 安裝
    sudo apt update && sudo apt install iptables
    
  • 查看規則
    sudo iptables -L -v -n  # 查看filter表規則
    
  • 添加規則
    • 允許特定IP訪問SSH:
      sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
      
    • 拒絕所有其他IP訪問SSH:
      sudo iptables -A INPUT -p tcp --dport 22 -j DROP
      
    • 允許特定端口范圍(如80-90):
      sudo iptables -A INPUT -p tcp --dport 80:90 -j ACCEPT
      

2. 高級功能

  • 自定義鏈
    sudo iptables -N MY_CHAIN  # 創建自定義鏈
    sudo iptables -A MY_CHAIN -s 192.168.1.0/24 -j DROP  # 在鏈中添加規則
    sudo iptables -A INPUT -j MY_CHAIN  # 調用自定義鏈
    
  • 模塊化匹配
    • 限制連接頻率(如每秒最多5個新SSH連接):
      sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/second -j ACCEPT
      
    • 僅允許已建立的連接:
      sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
      

3. 保存與恢復

  • 保存規則
    sudo sh -c "iptables-save > /etc/iptables/rules.v4"
    
  • 開機自啟
    創建腳本 /etc/network/if-pre-up.d/iptables
    #!/bin/sh
    iptables-restore < /etc/iptables/rules.v4
    sudo chmod +x /etc/network/if-pre-up.d/iptables
    

二、使用nftables(新一代工具,語法更簡潔)

1. 基礎操作

  • 安裝
    sudo apt update && sudo apt install nftables
    
  • 查看規則
    sudo nft list ruleset
    
  • 添加規則
    • 允許SSH:
      sudo nft add rule ip filter input tcp dport 22 accept
      
    • 拒絕其他IP:
      sudo nft add rule ip filter input drop
      

2. 保存與恢復

  • 保存規則
    sudo nft list ruleset > /etc/nftables.conf
    
  • 開機自啟
    sudo systemctl enable nftables && sudo systemctl start nftables
    

三、使用ufw(簡化工具,適合新手)

1. 基礎操作

  • 安裝
    sudo apt update && sudo apt install ufw
    
  • 啟用并設置默認策略
    sudo ufw default deny incoming  # 拒絕所有入站
    sudo ufw default allow outgoing # 允許所有出站
    sudo ufw enable
    
  • 添加規則
    • 允許SSH:
      sudo ufw allow ssh
      
    • 允許特定端口(如8080):
      sudo ufw allow 8080/tcp
      
    • 拒絕特定IP:
      sudo ufw deny from 192.168.1.100
      

2. 保存規則

規則默認保存至 /etc/ufw/user.rules,重啟后自動加載。

注意事項

  1. 備份規則:修改前建議備份現有規則(如 cp /etc/iptables/rules.v4 /etc/iptables/rules.v4.bak)。
  2. 測試規則:在生產環境應用前,先在測試環境驗證規則有效性。
  3. 權限要求:所有操作需使用sudoroot權限。

根據需求選擇工具:ufw適合快速配置,iptables/nftables適合精細化控制。

0
亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女