Debian防火墙备份与恢复技巧

Debian 防火墙备份与恢复技巧

一、iptables 原生规则备份与恢复

• 备份
  • 保存当前规则到文件：
    • IPv4：sudo iptables-save > /etc/iptables/rules.v4
    • IPv6：sudo ip6tables-save > /etc/iptables/rules.v6
  • 远程或异地备份可用 rsync：
    • sudo rsync -avz /etc/iptables/rules.v4 /path/to/backup/
    • sudo rsync -avz /etc/iptables/rules.v6 /path/to/backup/
• 恢复
  • 从文件恢复：
    • sudo iptables-restore < /etc/iptables/rules.v4
    • sudo ip6tables-restore < /etc/iptables/rules.v6
  • 从远端恢复：
    • sudo rsync -avz /path/to/backup/rules.v4 /etc/iptables/ && sudo iptables-restore < /etc/iptables/rules.v4
    • sudo rsync -avz /path/to/backup/rules.v6 /etc/iptables/ && sudo ip6tables-restore < /etc/iptables/rules.v6
• 验证
  • 查看规则是否生效：sudo iptables -L -n -v、sudo ip6tables -L -n -v
• 说明
  • 以上命令通常需要 root 或 sudo 权限；恢复前务必确认规则内容，避免误封导致失联。

二、持久化与自动化

• 使用 netfilter-persistent（推荐）
  • 安装：sudo apt-get update && sudo apt-get install netfilter-persistent
  • 安装过程中会提示是否保存当前规则，选择“是”即可；后续可手动保存/重载：
    • 保存：sudo netfilter-persistent save
    • 重载：sudo netfilter-persistent reload
• 使用 if-pre-up 脚本
  • 创建脚本：sudo nano /etc/network/if-pre-up.d/iptables
  • 内容：

    #!/bin/sh
    /sbin/iptables-restore < /etc/iptables/rules.v4
    /sbin/ip6tables-restore < /etc/iptables/rules.v6
    

  • 赋权：sudo chmod +x /etc/network/if-pre-up.d/iptables
• 说明
  • 以上方式可确保系统重启后自动恢复 iptables 规则，避免规则丢失。

三、UFW 的备份与恢复

• 备份
  • 直接备份 UFW 规则文件：
    • sudo cp /etc/ufw/user.rules ~/ufw_rules_backup
    • sudo cp /etc/ufw/user6.rules ~/ufw6_rules_backup
• 恢复
  • 将备份文件复制回原路径并重新加载：
    • sudo cp ~/ufw_rules_backup /etc/ufw/user.rules
    • sudo cp ~/ufw6_rules_backup /etc/ufw/user6.rules
    • sudo ufw reload
• 说明
  • UFW 本身不提供“一键备份命令”，通过备份其规则文件即可完成备份与迁移。

四、回滚与默认设置

• iptables 回滚到默认（放行所有）
  • 备份当前规则（可选）：sudo iptables-save > /etc/iptables/rules.v4.bak
  • 清空并放行：

    sudo iptables -P INPUT ACCEPT
    sudo iptables -P FORWARD ACCEPT
    sudo iptables -P OUTPUT ACCEPT
    sudo iptables -t nat -F
    sudo iptables -t mangle -F
    sudo iptables -F
    sudo iptables -X
    

  • 如需持久化默认状态：sudo iptables-save > /etc/iptables/rules.v4
• UFW 重置
  • 禁用并重置：sudo ufw disable && sudo ufw reset，随后可按需 sudo ufw enable
• 说明
  • 执行前请确认有其它可达的管理通道（如 控制台/VNC），避免远程被锁。

五、安全与运维建议

• 变更前先备份：在任何规则调整前执行一次备份，便于快速回滚。
• 避免锁死 SSH：启用防火墙前先放行 SSH(22)，例如 sudo ufw allow 22 或确保 iptables 中有对应 ACCEPT 规则。
• 云环境双重防护：除本机防火墙外，还需在云平台配置 安全组 规则，二者需协同放行必要端口（如 22/80/443）。
• 验证与审计：变更后用 iptables -L -n -v、ufw status 等命令核对规则顺序与生效情况，必要时查看日志。