要設置linux防火墻規則，首先確認使用的工具，再根據工具配置相應規則。一、確認使用的防火墻工具：通過systemctl status firewalld或systemctl status iptables判斷系統使用firewalld還是iptables，centos/rhel默認用firewalld，Ubuntu傾向用ufw或iptables。二、使用firewalld配置基本規則：1.查看狀態和默認區域，用firewall-cmd –state和firewall-cmd –get-default-zone，必要時更改默認區域；2.開放指定端口如80/tcp、443/tcp，使用firewall-cmd –permanent –add-port=port/tcp并重載配置；3.添加允許的服務如ssh，使用firewall-cmd –permanent –add-service=service_name。三、使用iptables配置規則：1.添加允許ssh的規則iptables -a input -p tcp –dport 22 -j accept；2.拒絕所有其他入站連接iptables -a input -j drop，注意規則順序；3.保存規則，在centos執行service iptables save，ubuntu則用iptables-save > /etc/iptables/rules.v4。四、注意事項與建議：測試規則前保持ssh通道不中斷；定期審查規則列表；自定義規則而非依賴默認配置；啟用日志記錄幫助排查問題，例如添加iptables -a input -j log –log-prefix “iptables-dropped: “。

在Linux系統中，配置防火墻是保障服務器安全的重要步驟。防火墻可以控制進出系統的網絡流量，防止未經授權的訪問。常用的工具有iptables和更現代的firewalld，不同發行版可能默認使用其中一個。下面從實際操作角度出發，分幾個關鍵點來講解如何設置Linux防火墻規則。

一、確認使用的防火墻工具

Linux系統常見的防火墻管理方式有兩種：iptables和firewalld。

• iptables是一個老牌的防火墻工具，通過命令直接操作內核的netfilter模塊。
• firewalld則提供了動態管理防火墻的能力，支持區域（zone）概念，更適合桌面或服務器環境的靈活配置。

可以通過以下命令查看當前系統使用的是哪個：

 复制代码
systemctl status firewalld

或者檢查是否安裝了iptables服務：

 复制代码
systemctl status iptables

如果你不確定用哪個，大多數centos/RHEL 7+系統默認使用firewalld，而Ubuntu則傾向于使用ufw（簡化版），但也可以使用iptables。

二、使用firewalld配置基本規則

如果你的系統使用的是firewalld，可以通過如下方式快速設置常用規則。

1. 查看當前狀態和默認區域

 复制代码
firewall-cmd --state firewall-cmd --get-default-zone

通常默認區域為public，你可以根據需要更改：

 复制代码
firewall-cmd --set-default-zone=home

2. 開放指定端口

比如要開放http（80）和https（443）端口：

 复制代码
firewall-cmd --permanent --add-port=80/tcp firewall-cmd --permanent --add-port=443/tcp

添加完成后記得重載配置：

 复制代码
firewall-cmd --reload

3. 添加允許的服務

firewalld內置了一些常見服務名稱，比如ssh、http等：

 复制代码
firewall-cmd --permanent --add-service=ssh

這種方式比直接開端口更規范，也方便維護。

三、使用iptables配置規則（適合舊系統）

對于還在使用iptables的系統，可以直接編輯規則文件或使用命令行添加規則。

1. 添加允許SSH連接的規則

 复制代码
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

2. 拒絕所有其他入站連接

 复制代码
iptables -A INPUT -j DROP

注意順序很重要，因為iptables是按順序匹配的。應該先把允許的規則寫在前面，最后再加拒絕規則。

3. 保存規則

保存方法因系統而異，在CentOS上可以使用：

 复制代码
service iptables save

而在Ubuntu上可能需要手動保存到文件：

 复制代码
iptables-save > /etc/iptables/rules.v4

四、注意事項與建議

• 測試規則前保留SSH通道：修改防火墻規則時，務必確保至少有一個終端保持SSH連接不斷開，否則可能把自己鎖在外面。
• 定期審查規則列表：可以用iptables -L -n或firewall-cmd –list-all查看當前生效的規則。
• 不要過度依賴默認配置：很多系統默認只允許部分服務，但并不一定滿足你的需求，最好自己檢查并定制。
• 啟用日志有助于排查問題：可以添加日志記錄規則，例如：

 复制代码
iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: "

這樣可以在系統日志里看到被攔截的請求。

基本上就這些。防火墻配置不復雜，但細節容易忽略，尤其是規則順序和服務依賴方面。只要理解了基本邏輯，日常維護就不會太難。