# Firewall
防火墙
# 防火墙区别
| 防火墙工具 | 核心定位 | 核心特点 | 适用场景 | 典型发行版 | 关闭与禁用命令 |
|---|---|---|---|---|---|
| iptables | 内核级防火墙框架 | 1. 直接操作内核网络规则链(INPUT/OUTPUT/FORWARD等) 2. 规则配置复杂,需理解链、表、匹配条件等概念 3. 规则修改后需手动保存( iptables-save),否则重启失效4. 支持复杂的网络控制(NAT、端口转发、数据包过滤等) | 1. 需要深度定制防火墙规则的场景 2. 脚本化批量配置需求 3. 对网络控制精度要求极高的场景 | 所有Linux发行版(底层支持) | 1. 清空规则:sudo iptables -F && sudo iptables -Xsudo iptables -P INPUT ACCEPTsudo iptables -P OUTPUT ACCEPTsudo iptables -P FORWARD ACCEPT2. 禁用服务(若存在): sudo systemctl stop iptables ip6tablessudo systemctl disable iptables ip6tables |
| ufw | 轻量级前端工具 | 1. 全称“Uncomplicated Firewall”,以简洁为设计目标 2. 用 allow/deny等简单命令封装复杂的iptables语法3. 规则静态,修改后需 ufw reload生效4. 不支持复杂的NAT或自定义链配置 | 1. 个人用户或小型服务器 2. 快速配置基础规则(开放端口、限制IP等) 3. 对防火墙功能需求简单的场景 | Ubuntu、Debian等 | 1. 关闭当前运行:sudo ufw disable2. 禁用开机自启动: sudo systemctl disable ufw |
| firewalld | 动态前端工具 | 1. 支持动态规则(修改后无需重启服务即可生效) 2. 引入“zone(区域)”概念,可按网络场景(公网/内网)分组规则 3. 支持“临时规则”和“永久规则”区分 4. 集成常见服务定义,配置更符合企业级场景 | 1. 企业级服务器或服务频繁更新的环境 2. 需要按网络环境分组规则的场景 3. 依赖动态规则生效的场景(如云计算) | CentOS、RHEL、Fedora等 | 1. 关闭当前运行:sudo systemctl stop firewalld2. 禁用开机自启动: sudo systemctl disable firewalld |
# 防火墙关闭
# 关闭并禁用 ufw(适用于 Ubuntu/Debian 等)
# 1. 关闭当前运行的 ufw
sudo ufw disable
# 2. 禁用开机 自启动(ufw 通常通过 systemd 管理,部分系统可能无需额外操作,disable 已包含自启动禁用)
sudo systemctl disable ufw
1
2
3
4
5
2
3
4
5
验证是否关闭:sudo ufw status 应显示 inactive
# 关闭并禁用 firewalld(适用于 CentOS/RHEL/Fedora 等)
# 1. 关闭当前运行的 firewalld
sudo systemctl stop firewalld
# 2. 禁用开机自启动
sudo systemctl disable firewalld
1
2
3
4
5
6
2
3
4
5
6
验证是否关闭:sudo systemctl status firewalld 应显示 inactive 或 dead
# 关闭并禁用 iptables(通用,需注意部分系统可能用 nftables 替代)
# 1. 关闭当前运行的 iptables 服务(不同系统服务名可能不同)
sudo systemctl stop iptables
# 若存在 ip6tables(IPv6 防火墙),也需关闭
sudo systemctl stop ip6tables
# 2. 禁用开机自启动
sudo systemctl disable iptables
sudo systemctl disable ip6tables
1
2
3
4
5
6
7
8
2
3
4
5
6
7
8