RockyLinux网络访问控制详解（手把手教你配置firewalld防火墙）

第一步：确认 firewalld 是否已安装并运行

大多数 RockyLinux 安装默认已包含 firewalld。你可以通过以下命令检查其状态：

$ sudo systemctl status firewalld  

如果未安装，可使用以下命令安装并启动：

$ sudo dnf install firewalld -y$ sudo systemctl enable --now firewalld  

第二步：查看当前防火墙配置

使用 firewall-cmd 命令查看当前活动的区域和规则：

$ sudo firewall-cmd --get-active-zones$ sudo firewall-cmd --list-all  

输出示例：

public (active)  target: default  icmp-block-inversion: no  interfaces: eth0  sources:  services: ssh dhcpv6-client  ports:  protocols:  masquerade: no  forward-ports:  source-ports:  icmp-blocks:  rich rules:  

第三步：添加允许的服务或端口

假设你要开放 Web 服务（HTTP/HTTPS），可以使用以下命令：

$ sudo firewall-cmd --permanent --add-service=http$ sudo firewall-cmd --permanent --add-service=https$ sudo firewall-cmd --reload  

如果你需要开放自定义端口（例如 8080）：

$ sudo firewall-cmd --permanent --add-port=8080/tcp$ sudo firewall-cmd --reload  

第四步：限制特定IP访问（高级控制）

为了增强安全性，你可以只允许特定 IP 访问 SSH（端口22）。先移除默认的 SSH 服务，再添加富规则（rich rule）：

$ sudo firewall-cmd --permanent --remove-service=ssh$ sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="ssh" accept'$ sudo firewall-cmd --reload  

这样只有 IP 为 192.168.1.100 的主机才能通过 SSH 登录你的服务器。

第五步：保存与验证配置

所有带 --permanent 参数的规则会在重启后保留。执行 --reload 后立即生效。你可以用以下命令验证端口是否开放：

$ sudo firewall-cmd --list-ports$ sudo firewall-cmd --list-services  

结语：构建可靠的网络安全策略

通过以上步骤，你已经掌握了在 RockyLinux 中进行基本和高级网络访问控制的方法。合理配置 firewalld 不仅能防止未授权访问，还能提升整体系统的网络安全策略水平。建议定期审查防火墙规则，并根据业务需求调整RockyLinux防火墙设置。

记住：安全不是一次性的任务，而是一个持续的过程。希望这篇firewalld配置教程能为你打下坚实的基础！