---

一、"凌晨3点的报警短信教会我做人"

去年双十一大促前夜（别问为什么总在深夜出事故），我的手机突然像得了帕金森一样疯狂震动——某台测试服务器的22号端口正在被200多个IP轮番"敲门"。看着监控地图上闪烁的俄罗斯、尼日利亚、越南小红点（黑客们倒是严格遵守八小时工作制全球接力），我对着屏幕露出了慈祥的姨母笑：幸亏提前给服务器穿了"黄金甲"。

今天就带大家走进《服务器的自我修养》第一课：给自家数字资产穿上定制西装的正确打开方式。（文末有祖传配置模板自取）

二、防火墙不是铁布衫——理解三大防御流派

1. 包过滤派（Packet Filtering）

就像小区门卫拿着业主名单挨个比对身份证：

```bash

iptables经典三连

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

放行HTTP流量

iptables -A INPUT -p tcp --dport 22 -j DROP

禁用SSH远程登录

iptables -P INPUT DROP

默认拒绝所有

```

适用场景：适合家里有矿但不想买保险柜的小可爱

2. 状态检测派（Stateful Inspection）

升级版健康码查验系统：

firewalld的智能模式

firewall-cmd --permanent --zone=public --add-service=http

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'

不仅能记住访客登记（连接状态跟踪），还能识别出想混在快递车里溜进来的可疑分子（异常数据包）。

3. 应用层派（Application Layer）

堪比机场安检的X光机：

使用ModSecurity这样的WAF

SecRuleEngine On

SecRule REQUEST_URI "@contains /wp-admin" "id:1001,deny,status:403"

专门对付那些拿着伪造邀请函（SQL注入）、揣着微型相机（XSS攻击）的不速之客。

三、五步打造金刚不坏之身

Step1️⃣：先给现有规则拍遗照

iptables用户必备仪式感

iptables-save > /etc/iptables.rules.backup-$(date +%Y%m%d)

firewalld玩家请自觉

firewall-cmd --runtime-to-permanent

这条命令相当于在拆炸弹前先拍X光片——别问我是怎么知道的🙃

Step2️⃣：白名单才是真香定律

想象你的服务器是奶茶店VIP室：

只允许市场部IP访问数据库

iptables -A INPUT -p tcp -s 10.20.30.0/24 --dport 3306 -j ACCEPT

AWS用户可以用安全组玩套娃

aws ec2 authorize-security-group-ingress --group-id sg-123456 \

--protocol tcp --port 5432 --cidr 203.0.113.0/24

Step3️⃣：关掉那些年我们乱开的端口

常见迷惑行为大赏：

- 3306全开→相当于把保险箱密码贴在电梯间

- 6379裸奔→等于在redis里写"欢迎来删库"

- 21端口常驻→仿佛举着"我家没装监控"的牌子

建议参考医院科室分布：

| 端口号 | 科室名称 | 接诊对象 |

|--------|------------|-------------|

| 443 | VIP特需门诊 | HTTPS贵宾 |

| 22 | 专家会诊 | SSH加密通道 |

| 8080 | 急诊通道 | 备用接口 |

Step4️⃣：安全组叠叠乐要讲究基本法

云服务用户请记住这个黄金公式：

> 外网安全组 ≤ DMZ区安全组 ≤ 内网安全组

翻译成人话就是：

1. 小区大门（外网）：只放行80/443等必要流量

2. 单元门禁（DMZ）：Web服务器之间互通

3. 家门智能锁（内网）：数据库只认应用服务器

Step5️⃣：给黑客准备豪华套餐

Fail2ban自动封禁套餐

fail2ban-client set sshd addignoreip 192.168.1.0/24

fail2ban-client set nginx-limit-req banaction=cloudflare

这相当于雇了个AI保安队长——看到可疑人员在门口转悠超过3次直接送派出所👮♂️

四、高级玩家の骚操作

🎩 GeoIP地域黑名单

Cloudflare玩家专属皮肤

curl https://www.cloudflare.com/ips-v4 > cf_ips.txt

while read ip; do ufw allow from $ip to any port http,https; done < cf_ips.txt

ufw deny from any to any port http,https

完美实现："除了CDN快递员其他人不得入内"

🛡️ TCPWrapper双重认证

编辑`/etc/hosts.allow`加上：

```text

sshd: .example.com EXCEPT hacker.mail.ru

这波操作相当于在门禁系统里录入了："除戴墨镜穿花衬衫说俄语的一律放行"

五、血的教训——那些年我们踩过的坑

1️⃣ 全开一时爽："我就测试五分钟..." →第二天登上行业耻辱柱

2️⃣ 策略万年不变：以为设置了就一劳永逸 →结果被新型DDoS教做人

3️⃣ 单层防护迷信：以为有了防火墙就能裸奔 →实际需要配合WAF/IDS食用更佳

这就好比：

- 🚗不锁车门就上街（全开端口）

- 🔑十年不换家门密码（不更新规则）

- 🏠只在门口装防盗门（没有纵深防御）

✨课后彩蛋

掏出我的祖传锦囊：

```bash

!/bin/bash

Linux基础防护三件套

yum install iptables-services fail2ban mod_security -y

systemctl start iptables fail2ban httpd

Windows玩家必装套装

Install-WindowsFeature -Name Windows-Defender-Firewall

New-NetFirewallRule -DisplayName "Block Evil IPs" -RemoteAddress 123.45.67.89 -Direction Inbound -Action Block

现在轮到你了！赶紧打开终端输入`sudo ufw enable`给你的服务器穿上裤子吧～如果遇到灵魂拷问："这个IP该不该放？"，记住运维界至理名言：

> 当你在纠结要不要开放某个端口时

> 答案永远是否定的

欢迎在评论区晒出你的防火墙奇葩经历～点赞过百下期揭秘《如何用蜜罐让黑客怀疑人生》！

TAG:服务器防火墙怎么设置,服务器防火墙怎么设置每个链接ip的数量,服务器防火墙怎么设置3306端口只需本地访问,服务器配置防火墙