debian防火墙怎么设置 - 问答

Debian 防火墙设置指南

一、选择工具与准备

常用工具：UFW（Uncomplicated Firewall，简化 iptables 的前端）与 iptables（底层规则引擎）。新手优先用 UFW，复杂场景用 iptables。
操作习惯：修改前先备份规则；变更时保持一条已建立的 SSH 会话，避免被锁；规则变更后及时验证与持久化。

二、使用 UFW 快速配置（推荐）

安装与启用
- 安装：sudo apt update && sudo apt install ufw
- 设置默认策略：sudo ufw default deny incoming 与 sudo ufw default allow outgoing
- 允许 SSH：sudo ufw allow ssh（或 sudo ufw allow 22/tcp）
- 启用：sudo ufw enable（如提示可能中断现有 SSH 连接，确认已放行 SSH 后再继续）
常用规则
- HTTP/HTTPS：sudo ufw allow http 或 sudo ufw allow 80/tcp；sudo ufw allow https 或 sudo ufw allow 443/tcp
- 按来源网段放行：sudo ufw allow from 192.168.1.0/24
- 按网卡放行：sudo ufw allow in on eth0 to any port 3306
- 端口范围：sudo ufw allow 7100:7200/tcp
- 查看状态：sudo ufw status verbose；禁用：sudo ufw disable
IPv6 支持（可选）
- 编辑 /etc/default/ufw，将 IPV6=yes，使 UFW 同时管理 IPv6 规则。

三、使用 iptables 配置（进阶）

基本规则
- 查看：sudo iptables -L -n -v
- 放行 SSH：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- 放行 HTTP/HTTPS：sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT；sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- 允许已建立的连接：sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
- 默认策略（谨慎）：sudo iptables -P INPUT DROP（务必先放行 SSH，避免失联）
持久化与恢复
- 保存：sudo sh -c "iptables-save > /etc/iptables/rules.v4"
- 恢复：sudo iptables-restore < /etc/iptables/rules.v4
- 使用 iptables-persistent / netfilter-persistent 管理开机加载：sudo apt install iptables-persistent；安装时选择保存当前规则，后续可用 sudo netfilter-persistent save|start 保存/加载。

四、常用场景示例

Web 服务器（UFW）：sudo ufw allow 22/tcp；sudo ufw allow 80/tcp；sudo ufw allow 443/tcp；sudo ufw enable
数据库仅内网访问（UFW）：sudo ufw allow from 192.168.1.0/24 to any port 3306
限制某来源访问（iptables）：sudo iptables -A INPUT -s 203.0.113.10 -j DROP
放行端口区间（UFW）：sudo ufw allow 10000:20000/tcp
放行已建立连接（iptables，强烈建议）：sudo iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT（放在最前，避免误锁）

五、安全与维护建议

0 赞

0 踩