Linux防火墻怎樣實現訪問控制

在Linux系統中，實現訪問控制的主要工具是iptables和firewalld。以下是使用這兩個工具進行訪問控制的基本步驟：

使用iptables

1. 查看當前iptables規則

   sudo iptables -L -n -v
   

2. 添加規則

   • 允許特定IP訪問某個端口：

     sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j ACCEPT
     

   • 拒絕特定IP訪問某個端口：

     sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j DROP
     

   • 允許所有IP訪問某個端口：

     sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
     

3. 保存規則

   • 對于Debian/Ubuntu系統：

     sudo iptables-save > /etc/iptables/rules.v4
     

   • 對于Red Hat/CentOS系統：

     sudo service iptables save
     

4. 恢復規則

   • 對于Debian/Ubuntu系統：

     sudo iptables-restore < /etc/iptables/rules.v4
     

   • 對于Red Hat/CentOS系統：

     sudo service iptables restart
     

使用firewalld

1. 查看當前firewalld狀態

   sudo firewall-cmd --state
   

2. 查看所有區域和接口

   sudo firewall-cmd --get-active-zones
   sudo firewall-cmd --list-all
   

3. 添加規則

   • 允許特定IP訪問某個端口：

     sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="80" accept'
     

   • 拒絕特定IP訪問某個端口：

     sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="80" reject'
     

   • 允許所有IP訪問某個端口：

     sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
     

4. 重新加載firewalld配置

   sudo firewall-cmd --reload
   

注意事項

• 備份規則：在進行任何修改之前，建議備份當前的iptables或firewalld規則。
• 測試規則：在生產環境中應用新規則之前，先在測試環境中進行驗證。
• 權限：修改防火墻規則通常需要root權限。

通過以上步驟，你可以有效地使用iptables或firewalld來實現Linux系統的訪問控制。