好的阿杰,我帮你整理一份 服务器防火墙管理端口访问的配置指南,适合 Linux 服务器,既安全又易于管理。
1️⃣ 防火墙类型
常用 Linux 防火墙:
| 类型 | 特点 | 适用场景 |
|---|---|---|
| iptables | 经典命令行防火墙,灵活,复杂 | CentOS 6 / Linux 内核自带 |
| firewalld | 基于 zone 的动态防火墙管理 | CentOS 7+ / RHEL 7+ |
| ufw (Uncomplicated Firewall) | 简单易用,Ubuntu 默认 | Ubuntu / Debian 系统 |
选择你系统自带的防火墙即可。
2️⃣ 基本原则
- 默认拒绝所有未授权访问
默认策略:INPUT DROP / OUTPUT ACCEPT
- 只开放必要端口
- SSH(通常 22)或自定义端口
- HTTP/HTTPS(80/443)
- 数据库或管理端口仅允许特定 IP
- 限制管理端口来源
- 只允许办公 IP 或 VPN 访问
3️⃣ 使用 firewalld 配置端口访问
3.1 查看当前防火墙状态
sudo firewall-cmd --state
sudo firewall-cmd --list-all
3.2 开放管理端口(例如 SSH 端口 2222)仅允许特定 IP
# 创建 zone
sudo firewall-cmd --permanent --new-zone=trusted-admin
# 添加允许访问的 IP
sudo firewall-cmd --permanent --zone=trusted-admin --add-source=203.0.113.10/32
# 允许 SSH 访问
sudo firewall-cmd --permanent --zone=trusted-admin --add-port=2222/tcp
# 重新加载防火墙
sudo firewall-cmd --reload
# 检查规则
sudo firewall-cmd --zone=trusted-admin --list-all
3.3 默认拒绝其他访问
sudo firewall-cmd --set-default-zone=public
- 公共 zone 阻止所有未授权流量
- 只有 trusted-admin zone 的 IP 可以访问管理端口
4️⃣ 使用 iptables 配置端口访问
- 默认拒绝所有输入:
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
- 允许本机访问和已建立连接:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- 允许特定 IP 访问管理端口:
sudo iptables -A INPUT -p tcp -s 203.0.113.10 --dport 2222 -j ACCEPT
- 保存规则:
# Ubuntu/Debian
sudo apt install iptables-persistent
sudo netfilter-persistent save
# CentOS
service iptables save
5️⃣ 使用 ufw 配置(Ubuntu / Debian)
- 开启 ufw:
sudo ufw enable
- 默认拒绝所有输入:
sudo ufw default deny incoming
sudo ufw default allow outgoing
- 允许特定 IP 访问 SSH:
sudo ufw allow from 203.0.113.10 to any port 2222 proto tcp
- 查看规则:
sudo ufw status verbose
6️⃣ 安全加固建议
- 修改默认 SSH 端口(22 → 2222)
- 仅允许管理 IP 或 VPN 登录
- 开启防暴力攻击:
- fail2ban / CSF
- 定期审计防火墙规则
- 记录访问日志:
sudo journalctl -u firewalld
sudo tail -f /var/log/auth.log
7️⃣ 总结
- 原则:默认拒绝 → 仅开放必要端口 → 限制来源
- firewalld:动态管理 zone 和端口,灵活控制 IP
- iptables:低层次精确控制
- ufw:快速简单配置,适合 Ubuntu
- 配合安全策略:修改默认端口、VPN 管理、防暴力攻击
发表回复