Linux 防火墙作为系统安全的第一道防线,通过配置文件精细控制网络流量,有效抵御未授权访问和恶意攻击,不同发行版采用的防火墙工具虽有差异,但核心配置文件的结构与逻辑存在共性,理解这些文件是优化网络安全的关键。
主流防火墙工具及配置文件概览
Linux 环境中常见的防火墙工具包括 iptables、firewalld 和 nftables,它们分别对应不同的配置文件管理方式。
iptables 作为传统的内核级防火墙,规则直接存储在文本文件中,常见路径为 /etc/sysconfig/iptables(CentOS/RHEL 7 及之前)或 /etc/iptables/rules.v4(IPv4 规则)和 /etc/iptables/rules.v6(IPv6 规则),其配置文件本质是规则的有序集合,通过 iptables-save 和 iptables-restore 命令实现持久化。
firewalld(动态防火墙管理器)在 CentOS/RHEL 7+、Fedora 等系统中成为默认工具,采用区域(Zone)和服务(Service)的抽象概念,核心配置文件分为两类:一是预定义服务描述文件,位于 /usr/lib/firewalld/services/(如 http.xml 定义 HTTP 服务端口);二是用户自定义规则,存储在 /etc/firewalld/ 目录下,如 zones/public.xml 配置公共区域规则。
nftables 作为 iptables 的现代替代品,整合了 iptables、ip6tables、ebtables 等功能,规则文件通常为 /etc/nftables.conf,采用更简洁的语法描述表(Table)、链(Chain)和规则(Rule)。
配置文件结构与语法解析
iptables 配置文件结构
iptables 规则文件以 *filter 开头定义表(默认为 filter 表),包含 INPUT(入站)、OUTPUT(出站)、FORWARD(转发)等链,每条规则通过 -p(协议)、--dport(目标端口)、-j(动作)等选项指定匹配条件和动作(如 ACCEPT 允许、DROP 丢弃、REJECT 拒绝)。
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp --dport 22 -j ACCEPT # 允许 SSH 访问
-A INPUT -p icmp -j DROP # 丢弃 ICMP 包
COMMIT firewalld 配置文件结构
firewalld 以 XML 格式管理规则,服务文件通过 <port>、<protocol> 定义端口和协议,区域文件通过 <rule> 绑定源地址、服务或端口,在 /etc/firewalld/zones/public.xml 中添加允许特定 IP 访问 80 端口:
<zone>
<short>Public</short>
<rule family="ipv4">
<source address="192.168.1.100"/>
<port protocol="tcp" port="80"/>
<accept/>
</rule>
</zone> nftables 配置文件结构
nftables 配置文件采用类似脚本的语法,通过 table 定义表,chain 定义链,add rule 添加规则。/etc/nftables.conf:
table inet filter {
chain input {
type filter hook input priority 0;
tcp dport 22 accept # 允许 SSH
icmp type echo-request drop # 丢弃 ping 请求
}
} 常用配置操作实践
规则持久化
iptables 需手动保存规则:iptables-save > /etc/iptables/rules.v4,并确保 iptables 服务开机自启。firewalld 通过 --permanent 参数实现永久规则(如 firewall-cmd --permanent --add-service=https),修改后需 firewall-cmd --reload 生效。nftables 直接编辑 /etc/nftables.conf 后执行 nft -f /etc/nftables.conf 加载规则。
服务与端口管理
firewalld 可通过预定义服务简化配置(如 firewall-cmd --add-service=mysql 开放 3306 端口),或直接添加端口:firewall-cmd --add-port=8080/tcp。iptables 则需手动编写规则:iptables -A INPUT -p tcp --dport 8080 -j ACCEPT。
日志与调试
为排查问题,可在 iptables 中添加 LOG 动作记录被拒绝的连接:iptables -A INPUT -p tcp --dport 80 -m limit --limit 5/min -j LOG --log-prefix "HTTP Denied: "。firewalld 通过 firewall-cmd --get-log-denied 查看拒绝日志,并可通过 --set-log-denied=all 启用详细日志。
安全配置注意事项
- 备份与测试:修改规则前务必备份原配置文件(如
cp /etc/iptables/rules.v4 /etc/iptables/rules.v4.bak),避免误操作导致失联,测试环境验证规则逻辑,确保仅开放必要端口。 - 最小权限原则:仅开放业务必需的端口和服务(如 Web 服务器仅开放 80/443,数据库服务器仅对内网开放 3306),禁用高危服务(如 Telnet 默认 23 端口)。
- IP 白名单:通过
iptables的-s选项或firewalld的<source>标签限制访问源 IP,例如仅允许内网 192.168.1.0/24 段访问 SSH:iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT。 - 定期审计:使用
iptables -L -n -v查看规则匹配次数,清理冗余规则;通过firewall-cmd --list-all检查firewalld区域配置,确保无未授权服务开放。
Linux 防火墙配置文件是网络安全的核心载体,无论是传统的 iptables 还是现代的 nftables,其本质都是通过精细化的规则定义实现流量管控,掌握配置文件的结构与语法,结合业务需求合理调整规则,并严格遵循安全配置原则,才能有效构建安全可靠的系统防护体系。
