Debian ifconfig防火墙配置

ifconfig与防火墙的关系
在Debian系统中，ifconfig（或更现代的ip命令）是网络接口配置工具，主要用于设置IP地址、子网掩码、激活/关闭接口等，不具备防火墙功能。防火墙规则需通过iptables（传统）、nftables（下一代）或ufw（简化版）等工具配置。

一、Debian防火墙配置工具选择

1. iptables：传统且功能强大，适合需要精细控制的场景，但规则复杂。
2. nftables：iptables的继任者，语法更简洁，支持更高效的包处理，推荐新系统使用。
3. ufw（Uncomplicated Firewall）：面向普通用户的简化工具，默认集成于Debian，通过简单命令实现常见防火墙配置。

二、使用iptables配置基本防火墙

1. 安装iptables

sudo apt update
sudo apt install iptables

2. 配置基本规则

• 允许本地回环接口（系统内部通信必需）：

  sudo iptables -A INPUT -i lo -j ACCEPT
  sudo iptables -A OUTPUT -o lo -j ACCEPT
  

• 允许已建立的连接（避免中断现有会话）：

  sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  

• 允许SSH连接（远程管理必需，端口22）：

  sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  

• 允许HTTP/HTTPS访问（端口80/443，若运行Web服务）：

  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  

• 拒绝所有其他入站连接（默认拒绝，提升安全性）：

  sudo iptables -P INPUT DROP
  sudo iptables -P FORWARD DROP
  sudo iptables -P OUTPUT ACCEPT  # 允许所有出站连接（可选，根据需求调整）
  

3. 保存规则（持久化）

• Debian 10及以上版本使用iptables-persistent：

  sudo apt install iptables-persistent
  sudo netfilter-persistent save  # 保存当前规则
  sudo netfilter-persistent reload  # 重启后自动加载
  

• 旧版本可直接保存至文件：

  sudo iptables-save >
   /etc/iptables/rules.v4
  

三、使用nftables配置基本防火墙

1. 安装nftables

sudo apt update
sudo apt install nftables

2. 配置基本规则

• 创建默认规则集（input链默认拒绝，output链允许）：

  sudo nft add table ip filter
  sudo nft add chain ip filter input {
       type filter hook input priority 0 \;
   }
  
  sudo nft add chain ip filter output {
       type filter hook output priority 0 \;
   }
  
  sudo nft add chain ip filter forward {
       type filter hook forward priority 0 \;
   }
      
  sudo nft add rule ip filter input drop  # 默认拒绝入站
  sudo nft add rule ip filter output accept  # 允许出站
  

• 允许回环接口：

  sudo nft add rule ip filter input iif lo accept
  

• 允许已建立的连接：

  sudo nft add rule ip filter input ct state established,related accept
  

• 允许SSH连接：

  sudo nft add rule ip filter input tcp dport 22 accept
  

3. 保存规则（持久化）

• 编辑/etc/nftables.conf，添加上述规则，然后执行：

  sudo nft list ruleset >
       /etc/nftables.conf  # 备份规则
  sudo systemctl enable nftables  # 开机自启
  sudo systemctl start nftables   # 启动服务
  

四、使用ufw配置简化防火墙

1. 安装ufw

sudo apt update
sudo apt install ufw

2. 配置默认策略

sudo ufw default deny incoming  # 默认拒绝所有入站
sudo ufw default allow outgoing  # 默认允许所有出站

3. 允许常用服务

• 允许SSH：

  sudo ufw allow ssh
  

• 允许HTTP/HTTPS：

  sudo ufw allow http
  sudo ufw allow https
  

• 允许特定端口（如8080）：

  sudo ufw allow 8080/tcp
  

4. 启用ufw

sudo ufw enable
sudo ufw status  # 查看规则状态（verbose模式显示详细信息）

五、注意事项

• 备份现有规则：修改防火墙前，备份当前规则（如iptables-save > ~/iptables-backup.rules），避免配置错误导致无法访问。
• 测试规则：配置后通过外部设备测试端口连通性（如telnet your-ip 22），确保规则生效。
• 最小化开放端口：仅开放必要的服务端口（如SSH、HTTP），减少攻击面。
• 定期审查规则：根据业务需求调整规则，删除不再使用的端口授权。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！