🗣 Wd提问: linux服务器防火墙开启
🤖 Ai回答:在 Linux 服务器上开启防火墙需要根据使用的防火墙工具(如 `firewalld` 或 `iptables`)进行配置。以下是详细步骤,强烈建议先备份当前规则:
✅ 一、检查当前防火墙状态
1、检查是否已安装防火墙工具
bash
CentOS/RHEL 7+ 或 Fedora
rpm -q firewalld
Ubuntu/Debian
dpkg -l | grep firewalld
2、查看防火墙状态
bash
firewalld(推荐)
systemctl status firewalld
iptables(传统方式)
iptables -L -n -v
🔒 二、开启防火墙(推荐使用 `firewalld`,现代系统首选)
步骤 1:安装并启用 `firewalld`(如未安装)
bash
CentOS/RHEL
sudo yum install firewalld -y
sudo systemctl start firewalld
sudo systemctl enable firewalld 开机自启
Ubuntu/Debian
sudo apt install firewalld -y
sudo systemctl start firewalld
sudo systemctl enable firewalld
步骤 2:添加必要端口(必须操作!)
⚠️ 重要提示:默认防火墙会阻塞所有端口,需手动开放关键端口(如 SSH 22、HTTP 80 等)
安全原则:只开放必需的端口!
bash
允许 SSH (22) 永久生效
sudo firewall-cmd permanent add-port=22/tcp
允许 HTTP (80) 和 HTTPS (443)
sudo firewall-cmd permanent add-port=80/tcp
sudo firewall-cmd permanent add-port=443/tcp
重新加载规则
sudo firewall-cmd reload
步骤 3:验证规则
bash
sudo firewall-cmd list-all 查看当前防火墙规则
输出应包含 `22/tcp, 80/tcp, 443/tcp` 等端口。
🛡️ 三、高级安全配置(可选但强烈建议)
1、设置默认拒绝策略(阻止所有入站流量)
bash
将默认区域设为 `drop`
sudo firewall-cmd set-default-zone=drop
sudo firewall-cmd reload
2、创建自定义区域(如 `production`)
bash
创建新区域(允许指定端口)
sudo firewall-cmd new-zone=production permanent
sudo firewall-cmd zone=production add-port=22/tcp permanent
sudo firewall-cmd zone=production add-port=80/tcp permanent
sudo firewall-cmd reload
应用到接口(如 eth0)
sudo firewall-cmd zone=production add-interface=eth0 permanent
sudo firewall-cmd reload
3、限制源 IP(增强安全性)
bash
只允许特定 IP 访问 SSH
sudo firewall-cmd permanent zone=public add-rich-rule='rule family=ipv4 source address=192.168.1.100/32 port protocol=tcp port=22 accept'
sudo firewall-cmd reload
❌ 四、禁止防火墙(仅测试用途,不推荐生产环境)
bash
关闭 firewalld
sudo systemctl stop firewalld
sudo systemctl disable firewalld
⚠️ 重要警告:
切勿直接关闭防火墙!暴露在公网的服务器必须开启防火墙。
若使用云服务商(如 AWS/Azure),云安全组规则需与本地防火墙配合(如 AWS 的安全组仅允许 22 端口,本地防火墙需放开 22 端口)。
开放端口后,检查服务器日志确认无异常连接:
bash
journalctl -u firewalld -f 实时监控防火墙日志
📌 附:防火墙工具对比
| 工具 | 适用系统 | 优点 | 缺点 |
| firewalld | CentOS 7+/RHEL 7+ | 动态管理,支持区域隔离 | 需配合 `systemd` |
| iptables | CentOS 6+/RHEL 6 | 轻量级,兼容性好 | 配置复杂,需手动保存规则 |
| ufw | Ubuntu/Debian | 简单易用(命令类似 `firewalld`) | 仅支持基本规则 |
建议:
新服务器:优先使用 `firewalld`(CentOS 7+)或 `ufw`(Ubuntu)。
老旧系统:使用 `iptables`,但务必保存规则:
bash
sudo service iptables save CentOS 6
📣 最后提醒
1、最小权限原则:仅开放必要端口(如 22/80/443)
2、定期检查:每周执行 `sudo firewall-cmd list-all`
3、安全加固:
避免使用 `root` 直接登录 SSH
设置 `fail2ban` 防止暴力破解
更新系统:`sudo apt update && sudo apt upgrade -y`(Debian/Ubuntu)
防火墙是服务器安全的第一道防线,开启后务必验证规则是否正确!如有问题,可随时关闭防火墙进行排查(但生产环境不建议这么做)。
📣 商家广告:
0
IP地址: 169.200.239.86
搜索次数: 0
提问时间: 2025-11-09 11:01:20
🛒 域名购买:
te.biz
w-p.cn
3.bj.cn
lw.gs
838.net.cn
ww.fj.cn
jc9.com.cn
zm.gs
souhuai.com.cn
pai.pw
❓️ 热门提问:
定制开发app网站
什么是搜索引擎优化?
AI开发工具腾讯云
dns服务器一般是多少
ens注册域名
服主云服务器
永天网络vps
电脑管家服务器版
机房 防止静电地板
网站用虚拟主机
豌豆Ai站群搜索引擎系统
🌐 域名评估:
ii.sc.cn
qw.gs
gozc.cn
41.gs
53.biz
bjha.cn
kk.qh.cn
drone.qh.cn
vppi.cn
catl.sd.cn
⛏ 最新挖掘:
凯里酸汤鱼
贵阳烤脑花
都匀毛尖茶
花溪牛肉粉
贵阳烤生蚝
贵阳烤豆腐
贵阳纸包鱼
贵阳特色菜
🤝 关于我们:
豌豆Ai
域名
建站
站群
留痕
推广
评估
源码
开发Ai
工具
日记
价格
加盟
广告
流量
留言
联系
📢 温馨提示:本站所有问答由Ai自动创作,内容仅供参考,若有误差请用“联系”里面信息通知我们人工修改或删除。
👉 技术支持:本站由豌豆Ai提供技术支持,使用的最新版:《豌豆Ai站群搜索引擎系统 V.25.10.25》搭建本站。