RockyLinux网络访问控制详解（新手也能轻松掌握的firewalld防火墙配置教程）

什么是firewalld？

firewalld 是 RockyLinux 默认的动态防火墙管理工具，它提供了一个更灵活、更人性化的接口来管理 iptables 规则。与传统的静态防火墙不同，firewalld 支持运行时配置更改而无需重启服务，非常适合生产环境使用。

第一步：检查并启动 firewalld 服务

首先，我们需要确认 firewalld 是否已安装并正在运行：

# 检查 firewalld 状态sudo systemctl status firewalld# 如果未运行，启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld

第二步：了解 firewalld 的核心概念

在配置之前，你需要了解几个关键术语：

• 区域（Zone）：定义了不同信任级别的网络连接行为，如 public、internal、trusted 等。
• 服务（Service）：预定义的端口和协议组合，如 http（80/tcp）、ssh（22/tcp）等。
• 端口（Port）：可手动开放特定端口号及协议（tcp/udp）。

第三步：查看当前防火墙状态

运行以下命令查看当前活动的区域和规则：

# 查看默认区域firewall-cmd --get-default-zone# 查看所有活动区域firewall-cmd --get-active-zones# 查看 public 区域的详细配置（假设默认区域是 public）firewall-cmd --zone=public --list-all

第四步：开放常用服务（如 SSH、HTTP）

假设你希望允许外部访问 Web 服务（端口 80）和 SSH（端口 22），可以这样操作：

# 永久开放 SSH 和 HTTP 服务（--permanent 表示永久生效）sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=http# 重新加载配置使更改生效sudo firewall-cmd --reload# 验证是否添加成功firewall-cmd --zone=public --list-services

第五步：开放自定义端口

如果你运行的是自定义应用（比如一个监听 8080 端口的 Web 服务），可以按如下方式开放端口：

# 永久开放 TCP 8080 端口sudo firewall-cmd --permanent --add-port=8080/tcp# 重新加载sudo firewall-cmd --reload# 验证端口是否开放firewall-cmd --zone=public --list-ports

第六步：限制特定 IP 访问（高级用法）

你可以通过 rich rules 实现更精细的控制，例如只允许某个 IP 访问 SSH：

# 只允许 192.168.1.100 访问 SSHsudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="ssh" accept'# 拒绝其他所有 IP 访问 SSH（先移除全局 ssh 服务）sudo firewall-cmd --permanent --remove-service=ssh# 重载配置sudo firewall-cmd --reload

总结：构建可靠的网络安全策略

通过以上步骤，你已经掌握了在 RockyLinux 中使用 firewalld 进行基本的RockyLinux防火墙设置。合理的网络安全策略不仅能防止未授权访问，还能有效抵御常见网络攻击。建议定期审查防火墙规则，确保只开放必要的端口和服务。

记住：最小权限原则是安全配置的核心——只开放必须的端口，拒绝一切不必要的连接。

现在你已经具备了配置 RockyLinux网络访问控制 的基础能力！快去实践吧，让你的服务器更安全。