在Debian系统中,iptables
是一个强大的命令行工具,用于配置Linux内核防火墙。虽然Debian默认使用ufw
(Uncomplicated Firewall)作为其防火墙管理工具,但iptables
仍然可以直接使用,并且可以与ufw
配合使用,以实现更复杂的防火墙规则配置。
以下是如何在Debian系统中将iptables
与ufw
配合使用的步骤:
ufw
如果你还没有安装ufw
,可以使用以下命令进行安装:
sudo apt update
sudo apt install ufw
ufw
启用ufw
以开始管理防火墙规则:
sudo ufw enable
ufw
状态你可以使用以下命令查看ufw
的状态:
sudo ufw status
iptables
添加规则虽然ufw
提供了更简单的接口,但你仍然可以使用iptables
来添加更复杂的规则。例如,使用iptables
允许特定端口的流量:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables
规则保存到ufw
为了确保在系统重启后规则仍然有效,你可以将iptables
规则保存到ufw
的配置文件中。首先,找到当前的iptables
规则:
sudo iptables-save > /etc/iptables/rules.v4
然后,编辑ufw
的配置文件以加载这些规则:
sudo nano /etc/ufw/before.rules
在文件的开头添加以下内容:
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
# Allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# Allow ping
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
# Allow DHCP
-A ufw-before-input -p udp --dport 67:68 --sport 67:68 -j ACCEPT
# Allow mDNS (Bonjour)
-A ufw-before-input -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
# Allow SSH
-A ufw-before-input -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
# Allow HTTP and HTTPS
-A ufw-before-input -p tcp --dport 80 -j ACCEPT
-A ufw-before-input -p tcp --dport 443 -j ACCEPT
# Load custom rules
-A INPUT -j DROP
COMMIT
保存并退出编辑器,然后重新加载ufw
配置:
sudo ufw disable
sudo ufw enable
最后,验证规则是否正确加载:
sudo iptables -L -v -n
通过以上步骤,你可以在Debian系统中将iptables
与ufw
配合使用,以实现更灵活和强大的防火墙管理。