一、概念

1、防火墙firewall

Linux 防火墙用于控制进出系统的网络流量，保护系统免受未授权访问。常见的防火墙工具包括 iptables、nftables、UFW 和 firewalld。

---

1. 防火墙类型

   • 包过滤防火墙：基于网络层（IP、端口、协议）过滤流量（如 iptables）。

   • 应用层防火墙：基于应用协议（如 HTTP、SSH）过滤流量（需结合代理或深度包检测）。

2. 关键术语

   • 表（Table）：规则集合，如 filter（过滤）、nat（地址转换）、mangle（包修改）。

   • 链（Chain）：规则链，默认链包括 INPUT（入站）、OUTPUT（出站）、FORWARD（转发）。

   • 规则（Rule）：定义匹配条件和动作（如允许 ACCEPT、拒绝 DROP）。

   • 区域（Zone）：firewalld 的概念，定义不同网络环境（如 public、home）的安全级别。

3. 状态检测

   • 跟踪连接状态（如 NEW、ESTABLISHED），允许响应流量自动放行。

---

2、iptables

iptables 是集成在 Linux 内核中的包过滤防火墙系统，它允许系统管理员配置规则集，以便控制网络数据包的进出和转发。iptables 通过定义一系列的规则来决定如何处理经过网络接口的数据包。这些规则可以基于数据包的来源、目的地、协议类型等多种条件来设置。

二、命令

1、搭建实验运行环境

（1）前提说明

防火墙命令相关实验我们准备三个虚拟机，请先自行克隆出来三个，分别命名为F1、F2、F3

其中，F1与F3相互沟通，F2是它们沟通的桥梁

主机名	ip	网络类型
F1	192.168.76.10	NAT
F2	192.168.76.20（NAT的） 192.168.194.20（Host-only的）	NAT + Host-only（仅主机）
F3	192.168.194.30	Host-only（仅主机）

ip项请务必清楚自己虚拟机在NAT和Host-only（仅主机） 这两个网络类型下的网段是什么，

这里说一下查看办法：

按图中步骤来：点击实验所需的三台主机中的其中一台，这里是F1；点编辑；点虚拟网络编辑器；进去后即可查看：

仅主机时的ip网段

NAT时的ip网段:

这里的都是博主自己的，你们的都可以按照这个办法来查询

---

（2）设置三台主机的网络类型

1）对于F1

F1用NAT模式，默认应该就是NAT模式，但还是建议去查看一下：

2）对于F2

F2有两个：

一个是默认自带的NAT

另一个是Host-only（仅主机）

  

3）对于F3

F3是Host-only（仅主机）

（3）设置IP等基础配置

IP地址的配置先前博客有讲过，这里不再赘述，简单过一遍。配置指令为nm-connection-editor

手动配置你们网段的IP地址即可，可以按照上面的表格：

来进行配置IP，注意，F2有两个网卡，需要配置两个。 

nm-connection-editor

示例 

---

主机F1、F3和F2的第二个网卡（为下图F2的ens192）都不用配置网关，F2的第一个NAT类型网卡（图中为ens160）需要配置网关

F2的第一个NAT类型网卡（图中为ens160）需要配置网关

到这里就完成了实验环境的搭建

（4）测试

F1能ping通F2的NAT网卡（192.168.76.20）

F2的仅主机网卡（192.168.194.20）能ping通F3

2、iptables命令

（1）安装软件

安装需要搭建软件仓库，详情请见之前博客

dnf install iptables-nft-services.noarch -y

示例

---

（2）关闭防火墙 

systemctl disable --now firewalld

示例 

---

systemctl mask firewalld

示例 

---

 （3）启动服务

systemctl enable --now iptables.service

示例 

---

（4）iptables基本语法格式

iptables [-t 表名] 命令选项 [链名] [规则条件] -j 目标动作

（5）常用命令选项

参数	说明
-A 或 --append	在链末尾添加规则（如 -A INPUT）。
-I 或 --insert	在链的指定位置插入规则（如 -I INPUT 1 插入为第一条）。
-D 或 --delete	删除指定规则（如 -D INPUT 2 或按规则内容删除）。
-L 或 --list	列出链中的规则（配合 -n 禁用DNS解析，-v 显示详细信息）。
-F 或 --flush	清空链中的所有规则（如 -F INPUT）。
-P 或 --policy	设置链的默认策略（如 -P INPUT DROP）。
-N 或 --new-chain	创建自定义链（如 -N MY_CHAIN）。
-X 或 --delete-chain	删除自定义空链。
-Z 或 --zero	重置计数器（数据包和字节计数）。

参数	说明
-p 或 --protocol	指定协议（如 tcp、udp、icmp、all）。
-s 或 --source	源IP地址或网段（如 -s 192.168.1.0/24）。
-d 或 --destination	目标IP地址或网段。
-i 或 --in-interface	指定数据包进入的网络接口（如 -i eth0）。
-o 或 --out-interface	指定数据包离开的网络接口。
- j 或 -- jump	指定目标，即满足某条件时该执行什么样的动作，如ACCPET。

参数	说明
--dport	目标端口（如 --dport 80）。
--sport	源端口。
--multiport	多端口匹配（需加载 multiport 模块，如 --dports 80,443）。

（6） 各种命令选项的常用命令

就是上面的表中的部分常用的详解

1）iptables  -nL

查看当前iptables策略

iptables  -nL

示例

下面的三行：INPUT、FORWARD、OUTPUT，即为-A后面接的东西（规则）

---

2）iptables -t 表名

iptables -t

示例

输入-t后，我们连按table键，可以看到弹出来的这些就是表名，分别为：filter  mangle  nat

---

以下是各个表的详解 

filter表：

• 默认表：若未指定 -t 参数，默认使用 filter 表。

• 核心功能：过滤数据包，决定是否允许数据包通过。

• 内置链：

  链名	触发时机	常见用途
  INPUT	处理目标是本机的数据包（入站）	控制进入本机的流量（如开放 SSH 端口）。
  OUTPUT	处理本机产生的数据包（出站）	限制本机程序对外访问（如禁止某些 IP）。
  FORWARD	处理经过本机转发的数据包（路由）	配置 NAT 网关或防火墙路由规则。

nat 表：

• 核心功能：网络地址转换（Network Address Translation），用于修改数据包的源或目标地址。

• 内置链：

  链名	触发时机	常见用途
  PREROUTING	数据包进入路由决策之前（刚到达网卡）	DNAT（目标地址转换，如端口转发）。
  POSTROUTING	数据包离开本机之前（即将发送到网卡）	SNAT/MASQUERADE（源地址转换，如共享上网）。
  OUTPUT	本机产生的数据包在路由决策之后	对本机出站流量做 NAT（较少使用）

mangle 表：

• 核心功能：修改数据包内容（如 TTL、TOS 字段）或标记数据包（MARK），用于高级流量控制。

• 内置链：

  链名	触发时机
  PREROUTING	数据包进入路由决策之前
  POSTROUTING	数据包离开本机之前
  INPUT	处理目标是本机的数据包
  OUTPUT	处理本机产生的数据包
  FORWARD	处理经过本机转发的数据包

---

 拓展：清空指定表中的策略

iptables -t filter（这里填你想清理的表名，这里以filter举例） -F

示例

 

---

3）拒绝某条流量的访问

iptables -t  表名  -p  协议  --dport  80  -s  ip地址  -j  功能 

1））命令解析与添加规则

我们以一个实例来举例理解，比如：我们想让F1的tcp协议的访问数据不能到达F2，即拒绝F1的tcp流量，所以我们的命令可以写成：

iptables -t filter -A INPUT -p tcp --dport 80 -s 192.168.76.10 -j REJECT

这一项命令很长，但把其拆解就不复杂了：

所以，整条命令的意思即为：通过iptables写入一条规则 —— 拒绝访问（-j REJECT）表头为filter（-t filter）、端口为80（--dport 80）的tcp协议（-p tcp），并且还是来自（-A INPUT）192.168.76.10（-s 192.168.76.10）的流量

---

我们再次通过iptables  -nL查看一下当前的规则，可以看到在INPUT行我们刚刚新写入的规则：

iptables  -nL

---

2））测试规则的存在与生效

我们在F2主机安装nginx来进行测试，看看我们刚刚设置的规则是否存在且生效：

dnf install nginx -y

示例

启动nginx服务：

systemctl enable --now nginx.service

 示例

往F2的nginx里的默认index.html写入一个内容，方便我们后续测试，内容即为F2的NAT网卡ip本身：

echo 192.168.76.20 > /usr/share/nginx/html/index.html

示例 

接下来我们分别到F1主机和F3主机进行测试，看看在F2写的规则是否生效：

我们刚刚写的规则是，F2拒绝F1的tcp协议访问流量，F3的访问流量不拒绝

• 在F1端对F2进行访问：

• 在F3端对F2进行访问：

---

 3））总结 

这就是火墙，通过iptables命令设置规则，规定谁能访问，谁不能访问 

---

4）只允许某条流量访问

有了上面的基础，这一条就好理解了：

同样在F2进行配置

iptables -t filter -A INPUT -p tcp --dport 80 ! -s 192.168.194.30 -j REJECT

示例 

这里与上面不同的是-s前面的“！”感叹号，感叹号表示反选，-s本来是表示指定192.168.194.30这条流量，加了“！”感叹号后，就表示除了192.168.194.30这条之外的所有ip地址，所以这条命令也就变成了：

除了192.168.194.30，之外的其他所有ip全部都被拒绝访问F2，即——只允许ip为192.168.194.30的tcp访问流量来访问F2

而在默认不设置的情况下，策略都为ACCEPT，即允许，所以192.168.194.30的流量能够访问

---

5）删除filter表中的第X条策略

iptables -D INPUT  3

各项解释：

INPUT —— （指定为INPUT链，想删哪条链的策略就写哪条链名） 

3 —— （3为第三条策略，想删哪条写哪个数字）

---

3、firewalld命令

（1）概念

Firewalld 是 Linux 系统（尤其是 RHEL/CentOS/Fedora）中动态管理防火墙规则的工具，基于 firewall-cmd 命令行工具和 zone（区域）概念，支持动态更新规则而无需重启服务。

---

1）核心概念 

区域（Zone）

• 定义：预定义的网络信任级别，每个区域关联一组规则（允许的服务、端口等）。

• 默认区域：通常为 public（未明确指定时使用）。

• 常见区域：

  区域名	用途
  public	公共网络（默认，仅开放明确允许的服务）。
  trusted	完全信任所有连接。
  internal	内部网络（类似 home）。
  dmz	非军事区（仅允许部分服务）。
  block	拒绝所有入站流量（出站允许）。
  drop	丢弃所有入站流量（无响应，出站允许）。

2）服务（Service）

• 预定义的端口和协议组合（如 ssh、http、https），简化规则配置。

• 服务定义文件路径：/usr/lib/firewalld/services/*.xml。

 3）运行时与永久配置

• 运行时（Runtime）：临时生效，重启后失效。

• 永久（Permanent）：持久化配置，需 --permanent 参数，重启或重载后生效。

---

（2）常用命令

1）firewall-cmd命令表

状态与基本信息

命令	说明	示例
firewall-cmd --state	查看防火墙运行状态。	-
firewall-cmd --reload	重新加载配置（应用永久规则）。	sudo firewall-cmd --reload
firewall-cmd --complete-reload	完全重启防火墙服务（断开现有连接）。	sudo firewall-cmd --complete-reload
firewall-cmd --version	查看 firewalld 版本。	-

区域（Zone）管理

命令	说明	示例
firewall-cmd --get-default-zone	查看默认区域。	-
firewall-cmd --set-default-zone=<zone>	设置默认区域（需 --permanent）。	sudo firewall-cmd --set-default-zone=internal --permanent
firewall-cmd --get-active-zones	查看所有活动区域及绑定的接口。	-
firewall-cmd --get-zones	列出所有可用区域。	-
firewall-cmd --zone=<zone> --list-all	查看指定区域的详细配置。	firewall-cmd --zone=public --list-all
firewall-cmd --zone=<zone> --change-interface=<iface>	为接口绑定区域（需 --permanent）。	sudo firewall-cmd --zone=work --change-interface=eth0 --permanent

服务（Service）与端口（Port）管理

命令	说明	示例
firewall-cmd --list-services	查看当前区域允许的服务。	firewall-cmd --list-services
firewall-cmd --add-service=<service>	允许服务（默认运行时，加 --permanent 永久生效）。	sudo firewall-cmd --add-service=http
firewall-cmd --remove-service=<service>	移除服务。	sudo firewall-cmd --remove-service=ftp
firewall-cmd --list-ports	查看当前区域开放的端口。	firewall-cmd --list-ports
firewall-cmd --add-port=<port>/<protocol>	开放端口（如 80/tcp）。	sudo firewall-cmd --add-port=8080/tcp --permanent
firewall-cmd --remove-port=<port>/<protocol>	移除端口。

 高级规则（Rich Rules）

命令	说明	示例
firewall-cmd --add-rich-rule='<rule>'	添加富规则（支持 IP、端口、协议等复杂条件）。	sudo firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'
firewall-cmd --remove-rich-rule='<rule>'	移除富规则。	sudo firewall-cmd --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'
firewall-cmd --list-rich-rules	列出所有富规则。

应急模式与连接追踪

命令	说明	示例
firewall-cmd --panic-on	进入应急模式（拒绝所有流量，立即生效）。	sudo firewall-cmd --panic-on
firewall-cmd --panic-off	退出应急模式。	sudo firewall-cmd --panic-off
firewall-cmd --query-panic	检查应急模式状态。	firewall-cmd --query-panic

2） 火墙信息查看

firewall-cmd --state

示例 

---

firewall-cmd --list-all

示例 

 

3）管理域

firewall-cmd --get-default-zonefirewall-cmd --set-default-zone=trustedfirewall-cmd  --get-zonesfirewall-cmd  --get-active-zones

 示例

4）管理服务

firewall-cmd --get-servicesfirewall-cmd --list-services --zone=publicfirewall-cmd --permanent --add-service=http --zone=publicfirewall-cmd --permanent --remove-service=http

示例 

5）管理ip

firewall-cmd --add-source=192.168.76.20 --zone=trustedfirewall-cmd --remove-source=192.168.76.20 --zone=trusted

示例

6）管理port接口

firewall-cmd --add-port=80/tcpfirewall-cmd --remove-port=80/tcp

示例 

（3）firewalld高级规则 

Firewalld 的高级规则（Rich Rules）允许管理员基于复杂条件（如源/目标 IP、端口、协议、连接状态等）定义精细化的防火墙策略。

1）核心参数与功能：

匹配条件

参数	说明
`family="ipv4	ipv6"`	指定协议族（IPv4 或 IPv6）。
source address="CIDR"	匹配源 IP 或网段（如 192.168.1.0/24）。
destination address="CIDR"	匹配目标 IP 或网段。
`port port="端口" protocol="tcp	udp"`	匹配目标端口和协议（如 port="80" protocol="tcp"）。
service name="服务名"	匹配预定义的服务（如 ssh、http）。
protocol value="协议"	匹配 IP 协议号或名称（如 icmp、gre）。

动作与日志

参数	说明
accept	允许数据包。
reject	拒绝数据包并返回错误（默认 icmp-port-unreachable）。
drop	丢弃数据包（无响应）。
log	记录日志（可选 prefix 和 level）。
audit	生成审计日志（需审计子系统支持）。
mark set="标记值"	为数据包设置标记（需结合 tc 等工具实现 QoS 或策略路由）。

 2）规则优先级与执行顺序

1. 富规则优先级

   • 富规则优先于普通服务/端口规则执行。

   • 规则按添加顺序匹配，首条匹配的规则生效。

2. 规则顺序调整

   • 默认无法直接调整顺序，需先删除再重新添加。