如何在Linux上设置网络访问控制

来源:站长查询作者:广州程序员头衔:程序员
导读:本期聚焦于小伙伴创作的《如何在Linux上设置网络访问控制》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何在Linux上设置网络访问控制》有用,将其分享出去将是对创作者最好的鼓励。

在Linux系统中,网络访问控制是管理服务器对外服务权限、防范非法访问的核心操作,通过合理的规则配置可以限制特定IP、端口的访问请求,降低系统被攻击的风险。目前主流的实现方式有两种,分别是基于iptables的传统规则配置和基于firewalld的动态管理方案,用户可以根据系统版本和使用习惯选择对应的工具。

如何在Linux上设置网络访问控制

一、使用iptables设置网络访问控制

iptables是Linux内核集成的包过滤防火墙工具,通过定义规则链和规则表来管理网络数据包的流向,适合熟悉底层规则逻辑的用户使用。

1. iptables基本规则结构

iptables的规则分为表、链、规则三个层级,常用的表有filter表(负责过滤数据包)、nat表(负责网络地址转换),filter表的默认链包括INPUT(处理进入本机的数据包)、OUTPUT(处理本机发出的数据包)、FORWARD(处理转发的数据包)。

2. 常用配置示例

以下是几个常见的网络访问控制规则配置:

# 查看当前已有的iptables规则
iptables -L -n -v

# 允许本地回环接口的访问
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立连接和相关连接的数据包通过
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 开放22端口(SSH服务),仅允许192.168.0.0/24网段的IP访问
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT

# 开放80端口(HTTP服务),允许所有IP访问
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 拒绝其他所有进入本机的TCP连接请求
iptables -A INPUT -p tcp -j DROP

# 保存iptables规则,避免重启后丢失(不同系统保存命令有差异)
# CentOS系统
service iptables save
# Ubuntu系统
iptables-save > /etc/iptables/rules.v4

3. 规则管理注意事项

  • iptables规则是按顺序匹配的,先添加的规则优先级更高,建议将允许规则放在拒绝规则之前
  • 使用-A参数会在规则链末尾添加规则,使用-I参数可以在链首插入规则
  • 删除规则可以使用iptables -D 链名 规则序号或者iptables -D 链名 完整规则内容的方式

二、使用firewalld设置网络访问控制

firewalld是CentOS 7及以上版本、Fedora等系统默认使用的动态防火墙管理工具,它基于iptables实现,但支持区域(zone)概念和动态规则更新,不需要重启服务就能生效,使用起来更加便捷。

1. firewalld区域说明

firewalld将网络划分为不同的区域,每个区域有默认的规则策略,常用的区域包括:

区域名称默认策略说明
public公共区域,默认拒绝所有入站连接,仅允许已建立的连接和相关连接,适合对外服务的服务器
trusted信任区域,允许所有网络连接,适合内部可信网络环境
drop丢弃区域,所有入站数据包都会被丢弃,不返回任何响应,安全性最高
internal内部区域,用于内部网络,默认允许大部分入站连接

2. 常用配置示例

以下是firewalld的常见网络访问控制配置操作:

# 查看firewalld服务状态
systemctl status firewalld

# 启动firewalld服务并设置开机自启
systemctl start firewalld
systemctl enable firewalld

# 查看当前活动的区域
firewall-cmd --get-active-zones

# 将eth0网卡绑定到public区域
firewall-cmd --zone=public --add-interface=eth0 --permanent

# 开放80端口,允许所有IP访问,永久生效
firewall-cmd --zone=public --add-port=80/tcp --permanent

# 允许192.168.0.0/24网段访问22端口,临时生效
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" port protocol="tcp" port="22" accept'

# 拒绝192.168.0.100这个IP访问所有端口
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.100" drop'

# 重新加载规则,让永久配置生效
firewall-cmd --reload

# 查看public区域的所有规则
firewall-cmd --zone=public --list-all

3. 临时规则与永久规则

firewalld的规则分为临时规则和永久规则,不带--permanent参数的配置是临时规则,重启firewalld服务或者系统后会失效;带--permanent参数的配置是永久规则,需要执行firewall-cmd --reload才能生效,重启后也会保留。

三、两种工具的选型建议

  • 如果是CentOS 7及以上版本、需要动态更新规则且不想重启服务,优先选择firewalld,操作更简单,适合新手使用
  • 如果是旧版本Linux系统、或者需要更精细的底层规则控制,选择iptables更合适,兼容性更好
  • 两种工具不建议同时启用,避免出现规则冲突导致网络访问异常
注意:配置网络访问控制规则前,建议先通过控制台或者本地终端操作,避免远程配置错误导致无法连接服务器。如果误操作锁定了远程访问,需要到服务器本地终端删除错误规则恢复访问。

iptablesfirewalld网络访问控制Linux_网络配置修改时间:2026-07-13 02:27:26

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。