ifconfig如何配置网络防火墙规则

ifconfig如何配置网络防火墙规则

开门见山地说，ifconfig 这个命令大家都很熟悉，它是个非常得力的网络接口配置和查看工具。但有一点必须澄清：它本身并不负责配置网络防火墙规则。如果你需要为系统构筑一道安全防线，那得请出另外两位“重量级选手”：经典的 iptables 或是它的下一代继任者 nftables。

下面，我们就来详细拆解一下如何使用这两套工具来配置防火墙。别担心，步骤其实很清晰。

1. 查看当前防火墙规则

动手之前先看看现状，这是个好习惯。运行下面这条命令，当前所有的规则、数据包计数都会一目了然：

sudo iptables -L -n -v

2. 允许特定 IP 地址访问

假设你想放行来自内网某台特定主机（比如IP是 192.168.1.100）的所有流量，可以这样操作：

sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT

3. 允许特定端口访问

对于服务器，开放必要的服务端口是常规操作。例如，允许HTTP和HTTPS访问：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 允许 HTTP 访问
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许 HTTPS 访问

4. 拒绝所有其他访问

安全策略中，明确“拒绝所有未明确允许的流量”是关键一步。这条规则通常放在最后：

sudo iptables -A INPUT -j DROP

5. 保存防火墙规则

配置好的规则如果不保存，重启后就会消失。这里需要注意，不同Linux发行版的保存方式略有不同：

• Debian/Ubuntu:

  sudo iptables-sa ve > /etc/iptables/rules.v4

• CentOS/RHEL:

  sudo service iptables sa ve

• Fedora:

  sudo systemctl restart iptables

6. 恢复防火墙规则

如果需要将之前保存的规则重新加载回来，可以使用对应的恢复命令：

• Debian/Ubuntu:

  sudo iptables-restore < /etc/iptables/rules.v4

• CentOS/RHEL:

  sudo service iptables restart

使用 nftables 配置防火墙规则

话说回来，iptables 虽然强大，但它的架构已经有些年头了。现在更推荐使用 nftables，它语法更简洁，功能也更强大。我们来快速过一遍对应的操作。

1. 查看当前防火墙规则

sudo nft list ruleset

2. 允许特定 IP 地址访问

sudo nft add rule ip filter input ip saddr 192.168.1.100 accept

3. 允许特定端口访问

nftables 的语法允许将多个端口放在一个集合里，非常方便：

sudo nft add rule ip filter input tcp dport { http, https } accept

4. 拒绝所有其他访问

sudo nft add rule ip filter input drop

5. 保存防火墙规则

sudo nft list ruleset > /etc/nftables.conf

6. 恢复防火墙规则

sudo nft -f /etc/nftables.conf

最后必须强调一点：防火墙规则配置无小事。一个错误的规则就可能导致服务中断或留下安全漏洞。因此，在生产环境应用任何新规则之前，务必在测试环境中充分验证，确认其行为符合预期后，再行部署。安全，容不得半点马虎。