Linux防火墙如何进行IP过滤

在Linux系统中，可以使用iptables或nftables工具来进行IP过滤。以下是使用这两个工具进行IP过滤的基本步骤：

使用iptables进行IP过滤

1. 查看当前iptables规则

   sudo iptables -L -n -v
   

2. 允许特定IP访问

   sudo iptables -A INPUT -s 192.168.1.100 -d 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
   

   这条规则允许IP地址为192.168.1.100的设备访问192.168.1.0/24网段上的80端口（通常是HTTP服务）。

3. 拒绝特定IP访问

   sudo iptables -A INPUT -s 192.168.1.101 -j DROP
   

   这条规则拒绝IP地址为192.168.1.101的所有流量。

4. 保存iptables规则

   • 在Debian/Ubuntu系统上：

     sudo iptables-save > /etc/iptables/rules.v4
     

   • 在Red Hat/CentOS系统上：

     sudo service iptables save
     

5. 恢复iptables规则

   • 在Debian/Ubuntu系统上：

     sudo iptables-restore < /etc/iptables/rules.v4
     

   • 在Red Hat/CentOS系统上：

     sudo service iptables restart
     

使用nftables进行IP过滤

1. 查看当前nftables规则

   sudo nft list ruleset
   

2. 允许特定IP访问

   sudo nft add rule ip filter input ip saddr 192.168.1.100 ip daddr 192.168.1.0/24 tcp dport 80 accept
   

3. 拒绝特定IP访问

   sudo nft add rule ip filter input ip saddr 192.168.1.101 drop
   

4. 保存nftables规则

   sudo nft list ruleset > /etc/nftables.conf
   

5. 恢复nftables规则

   sudo nft -f /etc/nftables.conf
   

注意事项

• 权限：修改iptables或nftables规则通常需要root权限。
• 顺序：iptables和nftables规则的顺序很重要，先匹配的规则会先执行。
• 持久化：确保在系统重启后规则仍然有效，需要正确保存和恢复规则。

通过以上步骤，你可以在Linux系统中使用iptables或nftables进行IP过滤，以增强系统的安全性。