服务异常如何快速处理？

在Linux系统中，防火墙是保护系统安全的核心组件，它通过控制网络流量进出，有效防御恶意攻击，不同Linux发行版使用不同的防火墙管理工具，本文将详细讲解三种主流工具的操作方法：firewalld（适用于CentOS/RHEL/Fedora）、ufw（适用于Ubuntu/Debian）和基础工具iptables。

firewalld 操作指南（推荐用于CentOS/RHEL 7+）

firewalld提供动态管理功能,支持运行时修改规则而无需重启服务。

基础命令

sudo systemctl stop firewalld
sudo systemctl restart firewalld
# 设置开机自启
sudo systemctl enable firewalld

开放端口（以HTTP/HTTPS为例）

# 开放80端口（HTTP）
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
# 开放443端口（HTTPS）
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
# 重新加载配置
sudo firewall-cmd --reload

允许服务（如SSH）

sudo firewall-cmd --zone=public --add-service=ssh --permanent
sudo firewall-cmd --reload

阻止特定IP

sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject' --permanent
sudo firewall-cmd --reload

查看当前规则

sudo firewall-cmd --list-all  # 查看所有规则
sudo firewall-cmd --list-ports  # 查看开放端口

ufw 操作指南（推荐用于Ubuntu/Debian）

ufw（Uncomplicated Firewall）是简化版的防火墙管理工具。

启用ufw

sudo ufw enable  # 启用
sudo ufw disable # 禁用

开放端口与服务

# 开放SSH（默认端口22）
sudo ufw allow ssh
# 开放自定义端口（如8080）
sudo ufw allow 8080/tcp
# 允许特定IP访问
sudo ufw allow from 192.168.1.50

拒绝流量

# 拒绝HTTP访问
sudo ufw deny http
# 阻止IP
sudo ufw deny from 203.0.113.10

删除规则

# 先查看规则编号
sudo ufw status numbered
# 根据编号删除（如删除规则2）
sudo ufw delete 2

重置规则

sudo ufw reset  # 清除所有规则并禁用

iptables 操作指南（通用底层工具）

iptables是Linux内核的底层防火墙，适用于所有发行版,但规则需手动保存。

开放端口

# 允许80端口
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 允许SSH
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

阻止IP

sudo iptables -A INPUT -s 10.0.0.5 -j DROP

保存规则

# CentOS/RHEL
sudo service iptables save
# Ubuntu/Debian
sudo apt install iptables-persistent
sudo netfilter-persistent save

查看规则

sudo iptables -L -v

关键注意事项

1. 避免锁定自己

   • 修改规则前确保开放SSH端口（默认22）,否则可能导致无法远程登录。
   • 测试规则前使用sudo iptables -P INPUT ACCEPT临时允许所有流量。

2. 备份配置

   • firewalld：备份/etc/firewalld/目录
   • ufw：备份/etc/ufw/目录
   • iptables：运行sudo iptables-save > backup.rules

3. 优先级问题

   • 规则按顺序匹配,第一条匹配的规则生效。
   • 使用iptables -I INPUT 1将规则插入顶部。

4. 工具兼容性

   避免同时启用多个防火墙工具（如firewalld和iptables）,可能引发冲突。

• 初学者：优先使用ufw（Ubuntu）或firewalld（CentOS），操作简单。
• 高级用户：直接操作iptables，灵活性更高。
• 生产环境：修改前务必备份规则，并通过telnet或nmap测试端口是否生效。

引用说明： 参考Linux官方文档：

• firewalld: firewalld.org
• ufw: Ubuntu UFW指南
• iptables: netfilter.org
  所有命令均在CentOS 8、Ubuntu 22.04 LTS实测验证。