大家好我是张师傅 一个靠修服务器"续命"的运维工程师 今天咱们来聊聊那个让无数程序员又爱又恨的"电子门神"——服务器防火墙 最近帮学弟处理了个史诗级bug：他新部署的预约系统死活连不上数据库 结果你猜怎么着？防火墙把3306端口当可疑分子给ban了！这让我想起刚入行时自己把22端口封了结果被锁在服务器外的黑历史...

一、防火墙基础课：你家服务器的"小区门禁"

如果把服务器比作高档小区 防火墙就是那个拿着登记本的保安大爷 咱们先来认识几个关键概念：

1. 四表五链（iptables体系）

就像快递分拣系统：

- filter表：负责拦截可疑包裹（默认表）

- nat表：专门处理地址翻译（你家门牌号对外是666其实内部是101）

- mangle表：给包裹贴特殊标签

- raw表：处理异常包裹

2. 安全组与区域划分（firewalld体系）

这像极了疫情期间的风险区划分：

- public区：默认红码区（只放行SSH等必要服务）

- trusted区：VIP绿码通道

- work区：橙码办公专区

举个栗子🌰：某电商平台把支付服务放在internal区 只允许来自业务服务器的443端口访问 这就好比金库只认财务总监的脸+动态口令+瞳孔识别

二、配置实战：给服务器穿上"反甲"

场景1：Web服务器的黄金圣衣配置

```bash

先给自己留后路！（血泪教训）

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

基础防御三件套

iptables -P INPUT DROP

默认拒绝所有

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

放过正经会话

iptables -A INPUT -i lo -j ACCEPT

本地回环全开

Web服务铠甲

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

ICMP防ping术（防黑客测心跳）

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

```

场景2：数据库服务器的叹息之墙

使用firewalld打造铜墙铁壁：

firewall-cmd --permanent --new-zone=dbshield

创建专属防护罩

firewall-cmd --permanent --zone=dbshield --add-source=192.168.1.0/24

只允许内网访问

firewall-cmd --permanent --zone=dbshield --add-port=3306/tcp

MySQL专用通道

firewall-cmd --reload

结界生效！

三、老司机的翻车实录

1. 规则顺序引发的血案

某次我给Nginx集群配置时：

iptables -A INPUT -p tcp --dport 80 -j DROP

←错误示范！

iptables -A INPUT -s 192.168.1.100 -j ACCEPT

结果所有流量都被第一条规则拦截了！记住防火墙规则就像电梯按钮——谁先按谁优先

2. DNS的温柔陷阱

曾有用firewalld开了53端口却忘记udp协议：

firewall-cmd --add-port=53/tcp

←缺少udp版

导致整个CDN解析瘫痪2小时...现在看到UDP协议都会PTSD

3. ICMP的蝴蝶效应

有次屏蔽所有ICMP后：

- Kubernetes集群失联（需要vxlan通信）

- MTR网络诊断工具罢工

- TCP超时检测失效

后来才明白 ICMP就像身体里的神经信号 全阻断等于给自己打全身麻醉

四、高级防御技巧包

1. Fail2Ban组合技

给SSH穿上复活甲：

fail2ban-client set sshd addignoreip 192.168.1.0/24

白名单IP段

set maxretry = 3

三次失败就关小黑屋

findtime = 600

10分钟观察期

bantime = 86400

封禁24小时

2. Cloudflare反向护盾

在nginx配置里加魔法防御：

真实IP提取术（防DDoS）

set_real_ip_from 103.21.244.0/22;

real_ip_header CF-Connecting-IP;

3. TCPWrapper双重认证

/etc/hosts.allow彩蛋配置：

sshd : .example.com : spawn /bin/echo "%a试图登录" | mail alert@domain.com

五、当代掩耳盗铃图鉴（错误示范）

❌迷之自信型："我们系统在内网很安全"

→某制造企业内网被勒索软件横扫7台服务器

❌火力全开型："直接关闭防火墙性能更好"

→某游戏公司服务器沦为肉鸡疯狂发包

❌刻舟求剑型："照着三年前的教程设置"

→某电商因未更新Log4j规则被黑产薅走百万优惠券

❌过度防御型："除了80/443其他全封"

→导致OSS上传失败/SSL证书无法自动续期

结语：

记得上次给银行做加固时 CIO问我："这套配置能保几年平安？"我回他："就像孙悟空的紧箍咒——能防住大部分妖怪但防不住师父自己念咒啊！"说到底再好的防火墙也抵不过弱密码+乱开放端口的神操作

最后送大家运维界祖传对联：

上联：配策略如烹小鲜切忌猛火爆炒

下联：设规则似绣苏绣务必细密绵长

横批：防火防盗防手滑

TAG:服务器防火墙设置,服务器防火墙设置访问名单,服务器防火墙设置白名单,服务器上怎样设置防火墙端口,服务器防火墙设置教程