关于ufwfirewalld及iptables之间的关系整理

Posted 天璇

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于ufwfirewalld及iptables之间的关系整理相关的知识,希望对你有一定的参考价值。

三者是在不同的linux系统版本中的防火墙,但这种说法并不完全,会让人误解为他们是互不影响的独立关系。

UFW、firewall、iptables防火墙配置 常见的linux系统防火墙有:UFW、firewall、iptables,其中,UFW是Debian系列的默认防火墙,firewall 是红帽系列7及以上的防火墙(如CentOS7.x),iptables是红帽系列6及以下(如CentOS6.x)的防火墙。

事实上,他们很可能同时安装在同一个系统上,并且相互作用影响!
首先,iptables是最底层、最古老的防火墙系统,所有系统都会存在此防火墙,但一般而言只需保证该防火墙处于完全开放状态即可,其他不用管他,更不需要复杂的配置。而ufw和firewall都是较新linux系统上的替代iptables的工具,当他们同时安装在服务器上时,两者之间就会存在冲突。

笔者在ubuntu20.04服务器上,测试端口开放情况,排查了ufw和iptables,发现端口明明已经开放,但仍然无法连接,最后通过firewall-cmd --state发现firewall处于开启状态,用service firewalld stop将其暴力关闭后,端口开放正常。
而关闭firewall之后,再次开启ufw,发现端口又无法连接。
至此得出结论,firewall和ufw可共同影响服务器,任一防火墙开启都会使端口无法连接。

端口是否开放排查思路(以mysql数据库为例):

netstat -anp |grep 3306
首先查看端口监听情况。以确定对应的服务是否启动成功,及是否允许外部ip访问。若显示如下,则表示正常开启,且允许所有ip访问。(下图的第三列需要保证为0.0.0.0.0或::::,才是允许所有ip访问。若不是这个,需要在软件内部配置处设置,如mysql需要到)

使用firewall-cmd --state排查firewall状态,若开启,则开放对应端口或暴力关闭防火墙;
使用ufw status排查ufw状态,若开启,则开放对应端口或暴力关闭防火墙;
一般而言,较新的linux系统(不论是centos还是ubuntu)经过以上三步即可排查完成。还有一些教程是需要配置复杂的iptables,但其实并不需要,一不小心还容易造成未知的底层错误,因此,对于新手不建议修改iptables。

以上是关于关于ufwfirewalld及iptables之间的关系整理的主要内容,如果未能解决你的问题,请参考以下文章

关于iptables--基础知识

linux架构学习第三十天防火墙初识及iptables详解

Linux系列——iptables详解及常用规则

iptables 防火墙整理及简单应用

Linux上iptables基础应用

iptables中规则的关系——以只允许某些IP段访问为例