在Linux系统中,网络访问控制是管理服务器对外服务权限、防范非法访问的核心操作,通过合理的规则配置可以限制特定IP、端口的访问请求,降低系统被攻击的风险。目前主流的实现方式有两种,分别是基于iptables的传统规则配置和基于firewalld的动态管理方案,用户可以根据系统版本和使用习惯选择对应的工具。

一、使用iptables设置网络访问控制
iptables是Linux内核集成的包过滤防火墙工具,通过定义规则链和规则表来管理网络数据包的流向,适合熟悉底层规则逻辑的用户使用。
1. iptables基本规则结构
iptables的规则分为表、链、规则三个层级,常用的表有filter表(负责过滤数据包)、nat表(负责网络地址转换),filter表的默认链包括INPUT(处理进入本机的数据包)、OUTPUT(处理本机发出的数据包)、FORWARD(处理转发的数据包)。
2. 常用配置示例
以下是几个常见的网络访问控制规则配置:
# 查看当前已有的iptables规则 iptables -L -n -v # 允许本地回环接口的访问 iptables -A INPUT -i lo -j ACCEPT # 允许已建立连接和相关连接的数据包通过 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 开放22端口(SSH服务),仅允许192.168.0.0/24网段的IP访问 iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT # 开放80端口(HTTP服务),允许所有IP访问 iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 拒绝其他所有进入本机的TCP连接请求 iptables -A INPUT -p tcp -j DROP # 保存iptables规则,避免重启后丢失(不同系统保存命令有差异) # CentOS系统 service iptables save # Ubuntu系统 iptables-save > /etc/iptables/rules.v4
3. 规则管理注意事项
- iptables规则是按顺序匹配的,先添加的规则优先级更高,建议将允许规则放在拒绝规则之前
- 使用
-A参数会在规则链末尾添加规则,使用-I参数可以在链首插入规则 - 删除规则可以使用
iptables -D 链名 规则序号或者iptables -D 链名 完整规则内容的方式
二、使用firewalld设置网络访问控制
firewalld是CentOS 7及以上版本、Fedora等系统默认使用的动态防火墙管理工具,它基于iptables实现,但支持区域(zone)概念和动态规则更新,不需要重启服务就能生效,使用起来更加便捷。
1. firewalld区域说明
firewalld将网络划分为不同的区域,每个区域有默认的规则策略,常用的区域包括:
| 区域名称 | 默认策略说明 |
|---|---|
| public | 公共区域,默认拒绝所有入站连接,仅允许已建立的连接和相关连接,适合对外服务的服务器 |
| trusted | 信任区域,允许所有网络连接,适合内部可信网络环境 |
| drop | 丢弃区域,所有入站数据包都会被丢弃,不返回任何响应,安全性最高 |
| internal | 内部区域,用于内部网络,默认允许大部分入站连接 |
2. 常用配置示例
以下是firewalld的常见网络访问控制配置操作:
# 查看firewalld服务状态 systemctl status firewalld # 启动firewalld服务并设置开机自启 systemctl start firewalld systemctl enable firewalld # 查看当前活动的区域 firewall-cmd --get-active-zones # 将eth0网卡绑定到public区域 firewall-cmd --zone=public --add-interface=eth0 --permanent # 开放80端口,允许所有IP访问,永久生效 firewall-cmd --zone=public --add-port=80/tcp --permanent # 允许192.168.0.0/24网段访问22端口,临时生效 firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" port protocol="tcp" port="22" accept' # 拒绝192.168.0.100这个IP访问所有端口 firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.100" drop' # 重新加载规则,让永久配置生效 firewall-cmd --reload # 查看public区域的所有规则 firewall-cmd --zone=public --list-all
3. 临时规则与永久规则
firewalld的规则分为临时规则和永久规则,不带--permanent参数的配置是临时规则,重启firewalld服务或者系统后会失效;带--permanent参数的配置是永久规则,需要执行firewall-cmd --reload才能生效,重启后也会保留。
三、两种工具的选型建议
- 如果是CentOS 7及以上版本、需要动态更新规则且不想重启服务,优先选择firewalld,操作更简单,适合新手使用
- 如果是旧版本Linux系统、或者需要更精细的底层规则控制,选择iptables更合适,兼容性更好
- 两种工具不建议同时启用,避免出现规则冲突导致网络访问异常
注意:配置网络访问控制规则前,建议先通过控制台或者本地终端操作,避免远程配置错误导致无法连接服务器。如果误操作锁定了远程访问,需要到服务器本地终端删除错误规则恢复访问。
iptablesfirewalld网络访问控制Linux_网络配置修改时间:2026-07-13 02:27:26