Linux防火牆入門教程

防火牆是你的計算機防止網路入侵的第一道屏障。為確保你的安全，請下載我們的備忘單。

防火牆是你的計算機防止網路入侵的第一道屏障。為確保你的安全，請下載我們的備忘單。

合理的防火牆是你的計算機防止網路入侵的第一道屏障。你在家裡上網，通常網際網路服務提供會在路由中搭建一層防火牆。當你離開家時，那麼你計算機上的那層防火牆就是僅有的一層，所以配置和控制好你   電腦上的防火牆很重要。如果你維護一臺 Linux 伺服器，那麼知道怎麼去管理你的防火牆同樣重要，只要掌握了這些知識你才能保護你的伺服器免於本地或遠端非法流量的入侵。

很多 Linux 發行版本已經自帶了防火牆，通常是 iptables。它很強大並可以自定義，但配置起來有點複雜。幸運的是，有開發者寫出了一些前端程式來幫助使用者控制防火牆，而不需要寫冗長的 iptables 規則。

在 Fedora、 、Red Hat 和一些類似的發行版本上，預設安裝的防火牆軟體是 firewalld，透過 firewall-cmd  來配置和控制。在 Debian 和大部分其他發行版上，可以從你的軟體倉庫安裝 firewalld。Ubuntu 自帶的是簡單防火牆Uncomplicated Firewall（ufw），所以要使用 firewalld，你必須啟用 universe 軟體倉庫：

$ sudo add-apt-repository universe
$ sudo apt install firewalld

你還需要停用 ufw：

$ sudo systemctl disable ufw

沒有理由不用 ufw。它是一個強大的防火牆前端。然而，本文重點講 firewalld，因為大部分發行版都支援它而且它整合到了 systemd，systemd 是幾乎所有發行版都自帶的。

不管你的發行版是哪個，都要先啟用防火牆才能讓它生效，而且需要在啟動時載入：

$ sudo systemctl enable --now firewalld

Firewalld 旨在讓防火牆的配置工作儘可能簡單。它透過建立域zone來實現這個目標。一個域是一組的合理、通用的規則，這些規則適配大部分使用者的日常需求。預設情況下有九個域。

trusted：接受所有的連線。這是最不偏執的防火牆設定，只能用在一個完全信任的環境中，如測試實驗室或網路中相互都認識的家庭網路中。
home、work、internal：在這三個域中，接受大部分進來的連線。它們各自排除了預期不活躍的埠進來的流量。這三個都適合用於家庭環境中，因為在家庭環境中不會出現埠不確定的網路流量，在家庭網路中你一般可以信任其他的使用者。

public：用於公共區域內。這是個偏執的設定，當你不信任網路中的其他計算機時使用。只能接收選定的常見和最安全的進入連線。

dmz：DMZ 表示隔離區。這個域多用於可公開訪問的、位於機構的外部網路、對內網訪問受限的計算機。對於個人計算機，它沒什麼用，但是對某類伺服器來說它是個很重要的選項。

external：用於外部網路，會開啟偽裝（你的私有網路的地址被對映到一個外網 IP 地址，並隱藏起來）。跟 DMZ 類似，僅接受經過選擇的傳入連線，包括 SSH。

block：僅接收在本系統中初始化的網路連線。接收到的任何網路連線都會被 icmp-host-prohibited 資訊拒絕。這個一個極度偏執的設定，對於某類伺服器或處於不信任或不安全的環境中的個人計算機來說很重要。

drop：接收的所有網路包都被丟棄，沒有任何回覆。僅能有傳送出去的網路連線。比這個設定更極端的辦法，唯有關閉 WiFi 和拔掉網線。
你可以檢視你發行版本的所有域，或透過配置檔案 /usr/lib/firewalld/zones 來檢視管理員設定。舉個例子：下面是 Fefora 31 自帶的 FedoraWorkstation 域：

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
  Fedora Workstation
  Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.獲取當前的域任何時候你都可以透過 --get-active-zones 選項來檢視你處於哪個域：

$ sudo firewall-cmd --get-active-zones

輸出結果中，會有當前活躍的域的名字和分配給它的網路介面。膝上型電腦上，在預設域中通常意味著你有個 WiFi 卡：

FedoraWorkstation
  interfaces: wlp61s0

要更改你的域，請將網路介面重新分配到不同的域。例如，把例子中的 wlp61s0 卡修改為 public 域：

$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public

你可以在任何時候、任何理由改變一個介面的活動域 —— 無論你是要去咖啡館，覺得需要增加筆記本的安全策略，還是要去上班，需要開啟一些埠進入內網，或者其他原因。在你憑記憶學會 firewall-cmd  之前，你只要記住了關鍵詞 change 和 zone，就可以慢慢掌握，因為按下 Tab 時，它的選項會自動補全。

你可以用你的防火牆幹更多的事，比如自定義已存在的域，設定預設域，等等。你對防火牆越瞭解，你在網上的活動就越安全，所以我們建立了一個備忘單便於速查和參考。

下載你的 防火牆備忘單。（需註冊）

原文來自：