firewalld是什么?linux防火墙配置教程

firewalld 是 Linux 系统(特别是基于 RHEL/CentOS/Fedora 的系统)中默认使用的动态防火墙管理器,它使用 iptablesnftables 作为底层工具,但提供了一个更友好、更动态的管理接口。

以下是关于 firewalld 的核心概念、常用命令及管理技巧的完整指南。

Linux学习之路28_Linux防火墙_firewalld
加载中
Linux学习之路28_Linux防火墙_firewalld

核心概念

  • 区域 (Zones)
    firewalld 的核心思想是“区域”,每个网络接口可以关联一个区域,每个区域定义了一组允许或拒绝的规则。

    • 常见区域:public(默认,仅允许 ssh 和 dhcpv6-client)、trusted(完全信任)、block(拒绝所有)、drop(丢弃所有,无响应)。
  • 服务 (Services)
    为了方便管理,firewalld 预定义了一些常见服务(如 http, https, ssh, mysql),你可以通过服务名来开放端口,而不是直接指定端口号。
  • 运行时配置 vs 永久配置
    • 运行时 (Runtime):立即生效,重启后失效。
    • 永久 (Permanent):写入配置文件,重启后生效,但需要重新加载才能立即生效。

基本操作命令

1 服务管理

# 启动 firewalld 服务
sudo systemctl start firewalld
# 设置开机自启
sudo systemctl enable firewalld
# 查看防火墙状态
sudo firewall-cmd --state
# 查看当前活动的区域
sudo firewall-cmd --get-active-zones
# 查看默认区域
sudo firewall-cmd --get-default-zone

firewalld是什么?linux防火墙配置教程

2 区域与端口管理

# 查看所有可用区域
sudo firewall-cmd --get-zones
# 查看指定区域的所有规则(public 区域)
sudo firewall-cmd --zone=public --list-all
# 开放端口(仅运行时生效)
sudo firewall-cmd --add-port=8080/tcp
# 开放端口(永久生效)
sudo firewall-cmd --permanent --add-port=8080/tcp
# 移除端口(永久生效)
sudo firewall-cmd --permanent --remove-port=8080/tcp
# 重新加载配置(使永久配置立即生效,不中断现有连接)
sudo firewall-cmd --reload

3 服务管理

# 查看预定义的服务列表
sudo firewall-cmd --get-services
# 允许 HTTP 服务(运行时)
sudo firewall-cmd --add-service=http
# 允许 HTTPS 服务(永久)
sudo firewall-cmd --permanent --add-service=https
# 移除 HTTP 服务
sudo firewall-cmd --permanent --remove-service=http

4 富规则 (Rich Rules)

富规则允许更复杂的逻辑,如限制 IP、指定接口等。

# 允许来自特定 IP 的所有访问
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'
# 拒绝来自特定 IP 的 SSH 访问
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.5" service name="ssh" reject'
# 查看富规则
sudo firewall-cmd --list-rich-rules

firewalld是什么?linux防火墙配置教程


高级功能

1 端口转发 (Port Forwarding)

将外部请求的端口转发到内部其他 IP 或端口。

# 将外部 8080 端口转发到本地 80 端口
sudo firewall-cmd --permanent --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=127.0.0.1
# 或者转发到另一个 IP
sudo firewall-cmd --permanent --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.10

2 接口绑定

将网络接口绑定到特定区域。

# 将 eth0 接口绑定到 trusted 区域
sudo firewall-cmd --permanent --zone=trusted --add-interface=eth0
# 重新加载以生效
sudo firewall-cmd --reload

3 日志记录

firewalld 本身不直接记录日志,但可以通过富规则触发 LOG 目标,或者结合 iptables 日志模块。

# 记录所有被拒绝的包(需要配合 iptables 或 nftables 配置)
# 更简单的方式是使用 firewalld 的 rich rule 记录特定流量
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" service name="ssh" log prefix="SSH_LOG" level="warning" accept'

常见问题与故障排除

Q1: 如何查看防火墙是否正在运行?

sudo systemctl status firewalld

firewalld是什么?linux防火墙配置教程

Q2: 修改配置后不生效?

确保使用了 --permanent 并执行了 --reload

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload

Q3: 如何临时禁用防火墙(仅用于调试)?

sudo systemctl stop firewalld

⚠️ 注意:在生产环境中不建议长期禁用防火墙。

Q4: 如何查看详细的防火墙规则?

# 查看 iptables 规则(如果底层是 iptables)
sudo iptables -L -n -v
# 查看 nftables 规则(如果底层是 nftables)
sudo nft list ruleset

Q5: firewalld 和 iptables 的关系?

firewalld 是 iptables/nftables 的前端管理工具,你不需要直接操作 iptables 命令,除非你需要调试底层规则。


最佳实践

  1. 始终使用 --permanent--reload:确保配置在重启后依然有效。
  2. 使用服务名而非端口号:如 http80/tcp 更易读且不易出错。
  3. 最小权限原则:只开放必要的端口和服务。
  4. 定期审计:使用 sudo firewall-cmd --list-all 定期检查当前规则。
  5. 备份配置
    sudo cp /etc/firewalld/zones/public.xml /etc/firewalld/zones/public.xml.bak

首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/477719.html

(0)
8250cdn是什么,8250cdn
上一篇 2026年7月10日 02:48
python挂起怎么操作?python挂起线程方法
下一篇 2026年7月10日 02:48

相关推荐

  • 服务器做机器学习靠谱吗,服务器跑机器学习配置推荐

    在服务器上进行机器学习并非简单的软件安装,而是涉及算力选型、环境隔离、数据流转及模型部署的系统工程,核心在于根据业务场景匹配GPU资源并建立标准化的MLOps流程,很多人认为买台好电脑就能跑AI,其实服务器与个人PC在架构逻辑上有着本质区别,服务器强调的是高并发、稳定性以及集群扩展能力,如果你只是跑几个简单的线……

    2026年7月9日
    15500
  • 大模型MoE路由机制是什么?MoE路由算法详解

    大模型混合专家(MoE)路由的核心在于通过动态选择子网络激活特定专家,在保持参数总量巨大的同时,显著降低推理成本并提升响应速度,传统的大语言模型大多采用稠密架构,每次生成回答时,所有的参数都会被调用,这种“全量激活”的方式虽然能保证知识的全面性,但也带来了巨大的算力浪费和延迟,想象一下,你问一个博学的教授“今天……

    2026年6月20日
    2000
  • AI大模型ASIC芯片是什么?AI大模型ASIC芯片有哪些

    AI大模型ASIC芯片通过硬件级定制取代通用GPU,在特定推理场景下能实现能耗降低50%以上、延迟缩减30%的显著优势,是2026年算力成本优化的核心选择,随着生成式AI从概念验证走向大规模落地,算力瓶颈已成为制约行业发展的最大变量,过去几年,基于GPU的通用算力集群虽然灵活,但面对万亿参数模型的并发推理需求时……

    2026年6月16日
    2300
  • 服务器遭遇ddos攻击怎么办?ddos攻击防御方案有哪些

    服务器遭遇DDoS攻击时,立即启用高防IP清洗流量并切换至CDN加速节点,是阻断攻击、保障业务连续性的最有效手段,当你的服务器正在遭受DDoS攻击时,恐慌往往比攻击本身更具破坏性,这不是简单的网络卡顿,而是恶意的流量洪峰正在试图淹没你的数字资产,面对这种突发状况,首要任务不是去机房重启机器,也不是盲目联系云厂商……

    2026年7月7日
    5200
  • 大模型部署灰度切换如何操作?大模型部署灰度发布流程

    大模型部署中灰度模型切换的核心在于通过流量按比例逐步迁移,在保障业务连续性的同时验证新模型效果,最终实现无缝升级,为什么灰度切换是AI落地的必经之路想象一下,你刚给一家大型超市换了一套全新的收银系统,如果直接让所有顾客同时使用,一旦系统崩溃,整个超市就瘫痪了,大模型部署也是如此,从传统机器学习到现在的生成式AI……

    AI资讯 2026年6月18日
    2000
  • 分布式云存储是什么?分布式云存储架构优势有哪些

    分布式云存储通过将数据分散存储在多个物理节点上,实现了比传统集中式存储更高的可靠性、扩展性和容灾能力,是企业应对海量数据增长的核心基础设施,为什么传统存储已无法满足2026年的业务需求在数字化转型的深水区,企业面临的数据量呈指数级增长,过去那种依赖单一磁盘阵列或集中式SAN存储的模式,逐渐显露出瓶颈,当数据规模……

    2026年7月1日
    1210
  • 分保等保区别是什么?等保测评和分保测评的区别

    分保是金融行业的专项安全合规要求,侧重业务连续性和数据隔离;等保是国家通用的网络安全等级保护制度,侧重基础安全防护和法律责任,两者适用对象和监管逻辑完全不同,很多刚接触网络安全的朋友,听到“分保”和“等保”这两个词,容易把它们混为一谈,觉得都是“过个关”就行,这俩完全是两个维度的东西,等保像是你的“身份证”和……

    2026年7月6日
    9200
  • 大模型KTO优化是什么?大模型KTO Kahneman-Tversky优化原理

    大模型KTO(Kahneman-Tversky Optimization)是一种通过模拟人类在风险决策中的认知偏差(如损失厌恶)来优化大语言模型对齐过程的技术,它比传统的DPO方法更贴合人类真实的偏好逻辑,能显著提升模型回答的稳健性与安全性,传统的大模型对齐技术往往假设人类偏好是线性且理性的,但现实中的用户反馈……

    2026年6月17日
    2200
  • 大模型如何部署小程序?大模型部署小程序开发费用

    大模型部署小程序开发的核心在于通过API接口将云端算力轻量化嵌入微信生态,实现低成本、高并发且合规的AI应用落地,大模型部署小程序开发的技术架构解析云端推理与边缘计算的协同机制在2026年的技术语境下,直接在小程序端运行大模型是不现实的,小程序的运行环境受限于内存和算力,无法承载数十亿甚至千亿级参数的模型,主流……

    2026年6月18日
    3210
  • 开源AI音乐大模型哪个好用?2026最新AI音乐生成工具推荐

    开源AI音乐大模型通过降低创作门槛和提供可商用版权,正在重塑数字内容生产流程,成为个人创作者与中小企业的核心工具,过去,制作一首高质量背景音乐需要专业的编曲软件、昂贵的乐器采样库以及数月甚至数年的学习成本,随着开源AI音乐大模型的爆发,这一壁垒被彻底打破,你只需输入一段文字描述,模型就能在几十秒内生成一段结构完……

    2026年6月14日
    9200

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注