linux 防火墙命令手册

Linux 防火墙在保障系统安全方面起着至关重要的作用，它能够有效控制网络流量的进出，抵御外部的攻击和非法访问。在 Linux 系统中，有多种防火墙管理工具和对应的命令，掌握这些命令对于系统管理员和安全专家来说是必不可少的技能。下面将详细介绍 Linux 防火墙的相关命令手册。

首先要提到的是 iptables 命令，它是 Linux 系统中经典的防火墙配置工具。通过 iptables 可以对数据包进行过滤、转发和修改等操作。例如，要添加一条允许特定 IP 地址访问系统的规则，可以使用如下命令：`iptables -A INPUT -s 192.168.1.100 -j ACCEPT`。这里的 `-A` 表示追加规则到指定链，`INPUT` 是规则链的名称，代表进入系统的数据包，`-s` 用于指定源 IP 地址，`-j` 则是指定动作，这里是 `ACCEPT` 即接受该数据包。如果要删除这条规则，可以使用 `-D` 选项，如 `iptables -D INPUT -s 192.168.1.100 -j ACCEPT`。

除了基本的规则添加和删除，还可以对规则进行查看。使用 `iptables -L` 命令可以列出当前的防火墙规则。为了更清晰地显示规则的详细信息，还可以加上 `-n` 选项，它会以数字形式显示 IP 地址和端口号，避免 DNS 解析的延迟，如 `iptables -L -n`。如果想要查看特定链的规则，可以指定链名，例如 `iptables -L INPUT` 只显示 `INPUT` 链的规则。

对于防火墙规则的保存和恢复，也是非常重要的操作。在 Linux 系统中，每次重启后防火墙规则会丢失，因此需要将规则保存下来。可以使用 `iptables-save` 命令将当前的规则保存到文件中，如 `iptables-save > /etc/iptables.rules`。当系统重启后，使用 `iptables-restore` 命令恢复规则，`iptables-restore < /etc/iptables.rules`。

还有一个强大的防火墙管理工具 firewalld。它是 CentOS 7 及以上版本默认的防火墙管理工具，采用动态防火墙管理方式，支持服务和区域的概念。要启动 firewalld 服务，可以使用 `systemctl start firewalld` 命令，停止服务则使用 `systemctl stop firewalld`。查看服务状态可以用 `systemctl status firewalld`。

使用 firewalld 开放端口也很方便，例如要开放 80 端口，可以使用 `firewall-cmd --zone=public --add-port=80/tcp --permanent` 命令。这里的 `--zone` 指定了区域，`--add-port` 用于添加端口，`--permanent` 表示永久生效。添加完规则后，需要重新加载防火墙配置，使用 `firewall-cmd --reload` 命令。

如果要查看当前开放的端口和服务，可以使用 `firewall-cmd --list-all` 命令。它会显示当前区域的所有规则，包括开放的端口、服务等信息。

在 Linux 防火墙的使用过程中，还需要注意一些安全策略。例如，默认情况下应该拒绝所有不必要的外部访问，只开放必要的端口和服务。定期检查和更新防火墙规则，以适应系统的变化和安全需求。

掌握 Linux 防火墙的命令手册对于保障系统安全至关重要。无论是 iptables 还是 firewalld，都有各自的特点和优势，系统管理员需要根据实际情况选择合适的工具和配置方式，确保系统在网络环境中安全稳定地运行。