debian防火墙策略配置

Debian防火墙策略配置常用工具为UFW（简单易用）和iptables（功能强大），以下是具体方法：

一、UFW（推荐新手）

1. 安装与启用

   sudo apt update && sudo apt install ufw  
   sudo ufw enable  # 启用防火墙，默认拒绝入站、允许出站  
   sudo ufw default deny incoming  # 确保默认策略安全  
   

2. 添加规则

   • 允许SSH（默认22端口）：

     sudo ufw allow ssh  
     # 或指定IP访问SSH  
     sudo ufw allow from 192.168.1.100 to any port 22  
     

   • 允许HTTP/HTTPS：

     sudo ufw allow http  
     sudo ufw allow https  
     # 或指定端口  
     sudo ufw allow 80/tcp  
     sudo ufw allow 443/tcp  
     

   • 拒绝特定IP：

     sudo ufw deny from 192.168.1.200  
     

3. 查看与管理

   sudo ufw status verbose  # 查看规则  
   sudo ufw delete allow 22  # 删除规则（需指定动作）  
   

4. 高级配置

   • 限制连接速率（防暴力破解）：

     sudo ufw limit ssh  
     

   • 启用日志：

     sudo ufw logging on  
     

二、iptables（适合高级用户）

1. 安装与基础配置

   sudo apt update && sudo apt install iptables  
   sudo iptables -P INPUT DROP  # 默认拒绝入站  
   sudo iptables -P OUTPUT ACCEPT  # 允许出站  
   sudo iptables -A INPUT -i lo -j ACCEPT  # 允许本地回环  
   sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  # 允许已建立连接  
   

2. 添加端口规则

   • 允许SSH（22端口）：

     sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
     

   • 允许HTTP/HTTPS：

     sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT  
     sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT  
     

3. 保存与开机自启

   sudo iptables-save > /etc/iptables/rules.v4  # 保存规则  
   sudo nano /etc/network/if-pre-up.d/iptables  # 创建启动脚本  
   # 添加内容：#!/bin/sh /sbin/iptables-restore < /etc/iptables/rules.v4  
   sudo chmod +x /etc/network/if-pre-up.d/iptables  
   

三、工具选择建议

• 新手/快速配置：优先使用UFW，命令简洁且默认安全策略完善。
• 高级需求：使用iptables，支持自定义规则链、连接限制等复杂功能。

注意：配置前需确保了解网络环境，避免误操作导致服务中断；定期通过ufw status或iptables -L检查规则有效性。