Linux防火墙怎样阻止恶意访问

Linux防火墙可通过配置规则阻止恶意访问，常用工具包括iptables、ufw、firewalld，以下是具体方法及示例：

• 使用iptables

  • 拒绝特定IP访问：sudo iptables -A INPUT -s 恶意IP地址 -j DROP。
  • 拒绝IP段访问：sudo iptables -A INPUT -m iprange --src-range 起始IP-结束IP -j DROP。
  • 限制端口访问：sudo iptables -A INPUT -p tcp --dport 端口号 -j DROP。
  • 保存规则：sudo iptables-save > /etc/iptables/rules.v4（Ubuntu）或iptables-save > /etc/sysconfig/iptables（CentOS）。

• 使用ufw（Ubuntu/Debian）

  • 拒绝IP访问：sudo ufw deny from 恶意IP地址。
  • 拒绝端口访问：sudo ufw deny 端口号/tcp。
  • 启用防火墙：sudo ufw enable。

• 使用firewalld（CentOS/RHEL/Fedora）

  • 拒绝IP访问：sudo firewall-cmd --permanent --add-rich-rule='rule source address="恶意IP地址" drop'。
  • 拒绝端口访问：sudo firewall-cmd --permanent --remove-port=端口号/tcp。
  • 重新加载规则：sudo firewall-cmd --reload。

• 高级防护

  • 限制访问频率（防暴力破解）：sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min -j ACCEPT。
  • 使用IP集批量屏蔽IP：先通过ipset create banlist hash:ip创建IP集，再添加IP并应用规则iptables -I INPUT -m set --match-set banlist src -j DROP。

注意：配置前需确保工具已安装，规则生效前建议先测试，避免误拦截正常流量。定期更新系统和防火墙规则，结合入侵检测系统（如fail2ban）提升安全性。