阅读量:0
在Linux虚拟机中配置防火墙可以有效地保护系统免受恶意攻击。常用的防火墙工具包括iptables和firewalld。以下是使用这两种工具的详细配置指南。
使用iptables配置防火墙
iptables是Linux系统上最常用的防火墙工具之一,功能强大但配置复杂。
基本配置步骤:
-
查看当前规则:
iptables -L -n -v -
清空规则:
iptables -F iptables -t nat -F -
添加基础规则:
- 允许SSH(端口22)入站:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT - 允许HTTP/HTTPS(端口80/443)入站:
iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT - 拒绝其他所有入站流量(默认策略):
iptables -P INPUT DROP
- 允许SSH(端口22)入站:
-
保存规则:
service iptables save
高级功能:
-
设置NAT规则(端口转发):
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination :80 iptables -t nat -A POSTROUTING -j MASQUERADE -
限制IP访问频率:
iptables -I INPUT -p tcp --dport 22 -m limit --limit 10/min -j ACCEPT
使用firewalld配置防火墙
firewalld是CentOS 7及其衍生版本中默认使用的防火墙管理工具,基于服务的动态防火墙,支持NAT和端口转发。
基本配置步骤:
-
启用与禁用firewalld:
sudo systemctl start firewalld sudo systemctl enable firewalld sudo systemctl stop firewalld -
查看与修改规则:
- 查看所有活动区域规则:
sudo firewall-cmd --list-all - 添加开放端口(永久生效):
sudo firewall-cmd --zone public --add-port 80/tcp --permanent
- 查看所有活动区域规则:
-
高级功能:
- 设置服务(预定义规则集):
sudo firewall-cmd --zone public --add-service http --permanent - 启用NAT和路由:
sudo firewall-cmd --zone public --add-masquerade --permanent
- 设置服务(预定义规则集):
防火墙策略设计原则:
- 最小化开放端口:仅开放必要服务(如SSH、HTTP)。
- 默认拒绝策略:未明确允许的流量应默认拒绝。
- 分层防御:结合内核防火墙(iptables)和service-level防火墙(firewalld)。
- 日志记录:监控可疑流量(如–log选项)。
- 定期审计:清理过期规则,更新策略。
实战场景
Web服务器防火墙配置:
-
使用
ufw:sudo ufw allow 80,443/tcp sudo ufw default deny incoming sudo ufw enable -
使用
firewalld:sudo firewall-cmd --zone public --add-service http --permanent sudo firewall-cmd --zone public --add-service https --permanent
SSH安全加固:
- 限制IP白名单(如允许192.168.0.0/24网段):
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 22 -j DROP
通过以上步骤,你可以根据实际需求选择使用iptables或firewalld来配置Linux虚拟机的防火墙。
以上就是关于“Linux虚拟机如何配置防火墙”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm