最常用的防火墙命令有哪些?,具体怎么设置

防火墙命令是系统管理员和安全运维人员调度网络策略的核心手段,熟练使用iptables、firewalld、netsh等命令行工具,才能实现精确到规则级的流量管控。

Linux防火墙命令体系:iptables与firewalld实操对比

Linux环境下防火墙命令主要分为传统的iptables和现代化的firewalld(firewall-cmd),两者底层均基于netfilter,但管理方式差异明显,实际部署需根据发行版和运维习惯选择。

关于obs连接超时.请确保已经配置了一个有效的流媒体服务并且没有防火墙阻止连接问题的解决方法之一
加载中
关于obs连接超时.请确保已经配置了一个有效的流媒体服务并且没有防火墙阻止连接问题的解决方法之一

iptables传统命令详解

iptables直接操作内核netfilter规则表链,日常操作为:

  • 查看规则及包计数:iptables -L -n -v
  • 按链查看:iptables -L INPUT -n -v
  • 放行TCP 80端口:iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  • 放行特定网段SSH:iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT
  • 更改默认入站策略为拒绝:iptables -P INPUT DROP(需先放开必要端口)

规则匹配顺序为链顶至链底,-A追加末尾,-I插入指定位置,封禁高频攻击源可用-I INPUT 1置于首位。

端口转发也是常见场景:
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80

注意iptables规则即时生效,但对已建连接无影响。iptables -F清空所有规则,慎用。

firewalld现代命令firewall-cmd

firewalld通过firewall-cmd提供动态管理,分离运行时与永久配置,引入区域概念,默认public。

基本操作:

  • 查看默认区域:firewall-cmd --get-default-zone
  • 开放服务:firewall-cmd --add-service={http,https} --permanent
  • 开放端口:firewall-cmd --add-port=8080/tcp --permanent
  • 重载规则:firewall-cmd --reload
  • 查看已开放资源:firewall-cmd --list-servicesfirewall-cmd --list-ports

精细访问控制通过rich-rule实现,例如拒绝特定IP:

最常用的防火墙命令有哪些?,具体怎么设置

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.1.100 reject'

提升安全基线可切换默认区域至drop(仅允许明确放行):
firewall-cmd --set-default-zone=drop

行业共识建议日常调试使用无--permanent的临时规则,确认无误后再转为持久配置,避免误操作影响运行环境。

Windows防火墙命令批处理:netsh advfirewall精准管控

Windows高级安全防火墙通过netsh命令行支持完整配置,适合远程管理、批量部署和自动化运维。

常用netsh advfirewall命令

  • 查看所有配置文件状态:netsh advfirewall show allprofiles
  • 启用防火墙:netsh advfirewall set allprofiles state on
  • 入站放行端口3389:netsh advfirewall firewall add rule name="RDP" dir=in action=allow protocol=TCP localport=3389
  • 出站禁用某程序:netsh advfirewall firewall add rule name="BlockApp" dir=out action=block program="C:bad.exe"
  • 入站允许源IP段:netsh advfirewall firewall add rule name="AllowSubnet" dir=in action=allow remoteip=192.168.1.0/24

使用show rule name=xxx verbose查看详细属性。

批处理脚本应用场景

将多条命令写入.bat,通过计划任务每日更新黑名单:

@echo off
netsh advfirewall firewall delete rule name="BlockList"
netsh advfirewall firewall add rule name="BlockList" dir=in action=block remoteip=203.0.113.1,198.51.100.2

备份与还原:

  • 导出:netsh advfirewall export "C:fwbackup.wfw"
  • 导入:netsh advfirewall import "C:fwbackup.wfw"

根据运维实践经验,将防火墙命令嵌入初始化脚本可确保新部署设备策略一致,规避手工遗漏。

防火墙命令封禁IP与端口限流细节

DDoS或暴力破解发生时,通过防火墙命令行封禁恶意IP是最直接手段。

iptables封禁与限速

单IP封禁:
iptables -I INPUT -s 10.20.30.40 -j DROP

最常用的防火墙命令有哪些?,具体怎么设置

限制SSH新连接频率(30秒内超5次封禁):

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 30 --hitcount 5 -j DROP

查看recent列表:cat /proc/net/xt_recent/SSH

端口限流可使用hashlimit模块,如限制HTTP请求速率:
iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-above 200/sec --hashlimit-mode srcip --hashlimit-name http -j DROP

firewalld封禁IP

添加丰富规则拒绝源IP:
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.20.30.40 reject'

同样支持日志记录,添加log prefix="BLOCK: "便于审计,删除时使用remove-rich-rule

Windows下封禁IP

netsh advfirewall firewall add rule name="BlockAttacker" dir=in action=block remoteip=10.20.30.40

多IP逗号分隔,整段网段写remoteip=10.20.30.0/24,查看封禁列表:netsh advfirewall firewall show rule name=BlockAttacker verbose

防火墙命令的持久化保存与自动加载

内存规则重启即失,持久化是运维管理不可或缺的环节。

iptables持久化方案

Debian/Ubuntu:

  • 安装:apt install iptables-persistent
  • 保存:netfilter-persistent save
  • 开机自动加载:netfilter-persistent服务执行restore;单次手动恢复:iptables-restore < /etc/iptables/rules.v4

RHEL/CentOS:

  • 保存:iptables-save > /etc/sysconfig/iptables
  • 通过systemctl enable iptables并确认文件存在,开机自动加载

规则变更后应立即执行保存命令,避免因计划内或意外重启丢失配置。

firewalld配置持久

firewalld天然分离runtime与permanent,加--permanent的参数写入/etc/firewalld/zones/,也可将当前运行时配置同步为持久:
firewall-cmd --runtime-to-permanent

最常用的防火墙命令有哪些?,具体怎么设置

查看各zone持久配置:ls /etc/firewalld/zones/,手动编辑XML文件后需执行firewall-cmd --reload

Windows防火墙策略备份与组策略

本地多机可通过脚本执行netsh advfirewall export生成模板,结合域组策略统一分发,组策略中配置高级防火墙后,客户端执行gpupdate /force同步,据统计,采用脚本化持久管理可大幅降低因策略缺失导致的安全事件。

防火墙命令是纵深防御体系的实操基础,从单机到大规模集群,命令行工具提供的可编程性远超图形界面。

防火墙命令常见问题解答

iptables规则保存后重启不生效如何排查?

首先确认保存文件路径和加载服务正常,Debian系列检查netfilter-persistent服务状态为enabled;RHEL系列确认iptables服务启动且/etc/sysconfig/iptables文件存在,手动执行iptables-restore < 文件路径测试能否恢复,若仍无效,查看/var/log/syslog/var/log/messages定位服务启动错误,部分云环境需额外关闭ufw或firewalld避免冲突。

firewalld运行时报错COMMAND_FAILED如何解决?

多数候原因是rich-rule语法错误或与服务冲突,先执行firewall-cmd --check-config校验XML语法,调试时使用临时规则(不加--permanent),确认无误再转为永久,与docker或libvirt共存时,它们会自行管理iptables,建议在firewalld中调整zone或使用direct规则,或将docker网桥列入trusted区域。

netsh advfirewall如何区分入站和出站规则?

通过dir=in指定入站,dir=out指定出站,add rule时必须明确方向,查看规则时使用show rule name=xxx verbose会显示方向、协议、端口、远程地址等全部属性,Windows防火墙默认所有入站阻止,出站允许,修改出站规则通常用于限制内部程序外联,此时需计划好出站放行清单以避免业务异常。

首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/495772.html

(0)
帝联CDN怎么样?,帝联CDN每月收费标准及节点速度如何
上一篇 2026年7月15日 02:03
乌云CDN是什么,乌云CDN加速好用吗
下一篇 2026年6月30日 16:13

相关推荐

  • 服务器怎么rdp登陆linux?Linux服务器远程桌面配置教程

    Linux服务器默认并不支持RDP协议,实现RDP登录的核心方案在于部署XRDP服务,将Linux的图形界面映射为Windows远程桌面可连接的协议,这是目前实现跨平台远程管理最直观、兼容性最佳的解决方案,为什么选择RDP而非VNC或SSH许多运维人员习惯使用SSH命令行管理Linux,但在需要图形化操作的场景……

    2026年3月23日
    10100
  • 服务器最大并发量是多少?如何提升服务器最大并发承载能力?

    核心要素与优化之道核心结论: 服务器最大并发能力并非单一硬件指标决定,而是由硬件资源(CPU、内存、网络、存储)、软件配置(操作系统、Web服务器、应用框架、数据库)、系统架构设计(负载均衡、缓存策略、异步处理)以及应用程序本身的效率共同构成的综合性能瓶颈,提升并发能力的关键在于精准识别并系统性地优化这些瓶颈点……

    2026年2月15日
    23900
  • 个人博客建站教学视频怎么做?新手建站教程

    个人博客建站最稳妥的方案是选择WordPress配合轻量级虚拟主机,既能保证SEO友好度,又能通过插件实现功能扩展,适合绝大多数内容创作者,在2026年的互联网环境下,搭建个人博客早已不再是程序员的专属技能,随着AI辅助工具的普及和可视化建站平台的成熟,普通人也能在几小时内拥有一个专业级的独立网站,很多人纠结于……

    2026年6月12日
    3310
  • 服务器指纹是什么意思?如何查询和修改服务器指纹信息

    服务器指纹是网络安全防御与攻击博弈中的关键身份标识,识别并修改这一特征,是构建服务器安全防线、隐藏真实业务逻辑的首要任务,通过精准的指纹识别与伪装,管理员能够有效降低自动化攻击的命中率,提升攻击者的成本,从而在源站层面实现主动防御,服务器指纹的核心价值与安全意义服务器指纹,本质上是服务器软件在响应客户端请求时返……

    2026年3月14日
    11600
  • 高等智能家居系统是什么?全屋智能怎么选

    高等智能家居系统是融合空间感知、无感交互与主动决策的居住中枢,它已彻底跨越单一设备远程控制的初级阶段,成为2026年全屋智能生态的核心大脑, 高等智能家居系统的核心演进逻辑从“指令执行”到“主动伺服”传统智能家庭依赖手机点击或语音口令,本质仍是被动响应,高等智能家居系统则具备环境自感知与行为预测能力,系统通过多……

    2026年4月29日
    5000
  • 个人电脑能搭建云端网络数据库吗?如何搭建个人云端数据库

    个人电脑完全可以作为云端网络数据库,通过内网穿透技术实现公网访问,适合个人开发者、小型工作室或家庭实验室场景,但需重点关注网络安全与数据备份,个人电脑搭建云端数据库的核心逻辑与可行性将家里的台式机或笔记本变成云端数据库,本质上是让原本封闭在局域网内的服务暴露到互联网中,这并非高不可攀的技术,而是利用现有的网络协……

    服务器运维 2026年5月27日
    4200
  • 个人博客网站设计代码怎么学?零基础搭建博客教程

    个人博客网站设计代码的核心在于采用轻量级静态生成器配合响应式CSS框架,通过语义化HTML结构确保SEO友好性,同时利用Markdown简化内容创作流程,这是目前兼顾加载速度与搜索引擎收录效率的最优解,构建个人博客不仅仅是写几行HTML标签,更是一场关于用户体验与搜索引擎算法的博弈,2026年的百度SEO标准更……

    2026年6月13日
    2810
  • 服务器搭建公司官网怎么做?专业服务器搭建公司推荐

    专业的服务器搭建公司官网是企业数字化转型的核心基石,它不仅决定了品牌在网络世界的形象展示,更直接关系到业务系统的稳定性、数据安全性以及未来的可扩展能力,构建一个高性能、高可用的企业官网,绝非简单的域名解析与模板套用,而是一项涉及硬件选型、环境配置、安全防护及运维监控的系统工程, 核心硬件选型与架构规划:夯实官网……

    2026年3月1日
    12000
  • 服务器提供哪些折扣?服务器租用优惠活动有哪些

    服务器折扣本质上是一种基于采购规模、付款周期及市场供需关系的动态定价策略,企业通过精准匹配自身业务需求与厂商促销节点,最高可降低30%至50%的长期运营成本,核心结论在于:获取优惠的关键不在于单一的降价幅度,而在于对计费模式、承诺期限以及增值服务组合的综合谈判能力,企业在选购时,应优先关注长期合约折扣、预留实例……

    2026年3月13日
    10500
  • 服务器最新优惠有哪些?云服务器哪家最便宜?

    在当前数字化转型的浪潮下,企业对算力的需求激增,导致云服务商竞争加剧,市场红利正从单纯的价格战转向服务与性能的综合博弈,核心结论在于:当前的服务器市场正处于价格与性能重构的关键期,企业应跳出单纯追求低价的误区,转而关注综合TCO(总拥有成本)与业务场景的匹配度,通过精准配置与长期合约锁定真正的技术红利, 市场格……

    2026年2月21日
    16000

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注