Debian ifconfig防火墙配置 - 问答

ifconfig与防火墙的关系
在Debian系统中，ifconfig（或更现代的ip命令）是网络接口配置工具，主要用于设置IP地址、子网掩码、激活/关闭接口等，不具备防火墙功能。防火墙规则需通过iptables（传统）、nftables（下一代）或ufw（简化版）等工具配置。

一、Debian防火墙配置工具选择

iptables：传统且功能强大，适合需要精细控制的场景，但规则复杂。
nftables：iptables的继任者，语法更简洁，支持更高效的包处理，推荐新系统使用。
ufw（Uncomplicated Firewall）：面向普通用户的简化工具，默认集成于Debian，通过简单命令实现常见防火墙配置。

二、使用iptables配置基本防火墙

1. 安装iptables

sudo apt update
sudo apt install iptables

2. 配置基本规则

允许本地回环接口（系统内部通信必需）：

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

允许已建立的连接（避免中断现有会话）：

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

允许SSH连接（远程管理必需，端口22）：
```
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
```

允许HTTP/HTTPS访问（端口80/443，若运行Web服务）：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

拒绝所有其他入站连接（默认拒绝，提升安全性）：

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT  # 允许所有出站连接（可选，根据需求调整）

3. 保存规则（持久化）

Debian 10及以上版本使用iptables-persistent：

sudo apt install iptables-persistent
sudo netfilter-persistent save  # 保存当前规则
sudo netfilter-persistent reload  # 重启后自动加载

旧版本可直接保存至文件：

sudo iptables-save > /etc/iptables/rules.v4

三、使用nftables配置基本防火墙

1. 安装nftables

sudo apt update
sudo apt install nftables

2. 配置基本规则

创建默认规则集（input链默认拒绝，output链允许）：

sudo nft add table ip filter
sudo nft add chain ip filter input { type filter hook input priority 0 \; }
sudo nft add chain ip filter output { type filter hook output priority 0 \; }
sudo nft add chain ip filter forward { type filter hook forward priority 0 \; }
sudo nft add rule ip filter input drop  # 默认拒绝入站
sudo nft add rule ip filter output accept  # 允许出站

允许回环接口：

sudo nft add rule ip filter input iif lo accept

允许已建立的连接：

sudo nft add rule ip filter input ct state established,related accept

允许SSH连接：

sudo nft add rule ip filter input tcp dport 22 accept

3. 保存规则（持久化）

编辑/etc/nftables.conf，添加上述规则，然后执行：

sudo nft list ruleset > /etc/nftables.conf  # 备份规则
sudo systemctl enable nftables  # 开机自启
sudo systemctl start nftables   # 启动服务

四、使用ufw配置简化防火墙

1. 安装ufw

sudo apt update
sudo apt install ufw

2. 配置默认策略

sudo ufw default deny incoming  # 默认拒绝所有入站
sudo ufw default allow outgoing  # 默认允许所有出站

3. 允许常用服务

允许SSH：
```
sudo ufw allow ssh
```

允许HTTP/HTTPS：

sudo ufw allow http
sudo ufw allow https

允许特定端口（如8080）：
```
sudo ufw allow 8080/tcp
```

4. 启用ufw

sudo ufw enable
sudo ufw status  # 查看规则状态（verbose模式显示详细信息）

五、注意事项

备份现有规则：修改防火墙前，备份当前规则（如iptables-save > ~/iptables-backup.rules），避免配置错误导致无法访问。
测试规则：配置后通过外部设备测试端口连通性（如telnet your-ip 22），确保规则生效。
最小化开放端口：仅开放必要的服务端口（如SSH、HTTP），减少攻击面。
定期审查规则：根据业务需求调整规则，删除不再使用的端口授权。

0 赞

0 踩