首页主机资讯Debian如何管理防火墙规则

Debian如何管理防火墙规则

时间2025-12-19 01:33:04发布访客分类主机资讯浏览1315
导读:Debian 防火墙规则管理指南 一 工具选择与适用场景 UFW(Uncomplicated Firewall):基于 iptables 的前端,语法简洁,适合快速上手与日常运维,默认策略通常为拒绝入站、允许出站。Debian 官方仓库提...

Debian 防火墙规则管理指南

一 工具选择与适用场景

  • UFW(Uncomplicated Firewall):基于 iptables 的前端,语法简洁,适合快速上手与日常运维,默认策略通常为拒绝入站、允许出站。Debian 官方仓库提供 UFW,安装后即可使用。对于大多数服务器与工作站,优先推荐使用 UFW 管理规则。
  • iptables底层规则引擎,灵活强大,适合复杂策略与精细化控制(如按接口、连接状态、自定义链等)。规则默认不会自动持久化,需配合持久化方案保存与恢复。

二 使用 UFW 管理规则

  • 安装与启用
    • 安装:sudo apt update & & sudo apt install ufw
    • 设置默认策略:sudo ufw default deny incomingsudo ufw default allow outgoing
    • 启用:sudo ufw enable(远程操作前务必先允许 SSH,见下条)
  • 常用规则
    • 允许 SSHsudo ufw allow sshsudo ufw allow 22/tcp
    • 允许 HTTP/HTTPSsudo ufw allow 80/tcpsudo ufw allow 443/tcp;或应用简写 sudo ufw allow 'Nginx Full'
    • 按来源 IP/子网放行:sudo ufw allow from 203.0.113.4sudo ufw allow from 203.0.113.0/24
    • 按端口范围与协议:sudo ufw allow 6000:6007/tcpsudo ufw allow 6000:6007/udp
    • 按网络接口:sudo ufw allow in on eth0 to any port 80
    • 拒绝规则:将 allow 替换为 deny
  • 查看与维护
    • 查看状态:sudo ufw status;查看带编号规则:sudo ufw status numbered
    • 删除规则:sudo ufw delete allow 80sudo ufw delete deny 23/tcp
    • 日志:sudo ufw logging on|off;日志级别:sudo ufw logging low|medium|high
    • 启用/禁用/重置:sudo ufw enable|disable|reset
    • 高级配置:编辑 /etc/ufw/before.rules/etc/ufw/after.rules/etc/default/ufw(可开启 IPv6:设置 IPV6=yes

三 使用 iptables 管理规则

  • 基本用法
    • 查看:sudo iptables -L -n -v
    • 允许 SSHsudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    • 允许 HTTP/HTTPSsudo iptables -A INPUT -p tcp --dport 80 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    • 拒绝其他入站:谨慎设置默认策略,例如 sudo iptables -P INPUT DROP(可能导致远程断开,务必先放行 SSH)
  • 持久化与恢复
    • 保存:sudo sh -c "iptables-save > /etc/iptables/rules.v4"
    • 恢复:sudo iptables-restore < /etc/iptables/rules.v4
    • 使用 iptables-persistent / netfilter-persistent(推荐):sudo apt install iptables-persistent;安装时选择保存当前规则;后续可用 sudo netfilter-persistent save|start 管理

四 安全与运维要点

  • 远程操作务必先放行 SSH,再启用默认拒绝策略;变更前备份规则,变更后在测试环境验证,逐步推广到生产。
  • 定期审查与更新规则,删除不再需要的放行项;为关键服务设置最小暴露面(仅开放必需端口与来源)。
  • 启用 UFW 日志并设置合适级别,便于审计与异常检测;日志默认位于 /var/log/ufw
  • 需要 IPv6 时,确保 UFW 配置 IPV6=yes 并同步规划 IPv6 规则。

五 快速示例

  • UFW 快速启用 Web 与 SSH
    • sudo apt update & & sudo apt install ufw
    • sudo ufw default deny incoming
    • sudo ufw default allow outgoing
    • sudo ufw allow ssh
    • sudo ufw allow 'Nginx Full'
    • sudo ufw enable
    • sudo ufw status verbose
  • iptables 快速放行 Web 与 SSH 并持久化
    • sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    • sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    • sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    • sudo sh -c "iptables-save > /etc/iptables/rules.v4"
    • 安装并启用持久化:sudo apt install iptables-persistent(安装时选择保存;后续可用 sudo netfilter-persistent save

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: Debian如何管理防火墙规则
本文地址: https://pptw.com/jishu/775761.html
Debian如何进行远程访问 Ubuntu inotify如何自定义事件

游客 回复需填写必要信息