引言

防火墻是任何網(wǎng)絡(luò)包括樹莓派網(wǎng)絡(luò)中必不可少的工具。本質(zhì)上，防火墻是內(nèi)部網(wǎng)絡(luò)（如樹莓派網(wǎng)絡(luò)）與其他外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）之間的安全屏障。其主要目的是控制和過濾網(wǎng)絡(luò)流量，根據(jù)預(yù)定義的規(guī)則允許或阻止某些連接。

網(wǎng)絡(luò)流量類型

入站流量、出站流量和轉(zhuǎn)發(fā)流量是指防火墻規(guī)則可以控制和管理的不同網(wǎng)絡(luò)流量類型。

入站流量

入站流量是指從外部來源發(fā)往樹莓派的數(shù)據(jù)包，例如來自互聯(lián)網(wǎng)或本地網(wǎng)絡(luò)中其他設(shè)備對樹莓派上運(yùn)行服務(wù)的訪問請求。示例包括訪問Web服務(wù)器的請求、SSH連接或樹莓派上運(yùn)行的任何其他服務(wù)。

配置防火墻時(shí)，可以根據(jù)各種條件（如源IP地址、目標(biāo)端口、協(xié)議等）定義規(guī)則，以允許或拒絕入站流量。這有助于保護(hù)樹莓派免受未經(jīng)授權(quán)的訪問或潛在的安全威脅。

出站流量

出站流量是指源自樹莓派并發(fā)往外部目標(biāo)的數(shù)據(jù)包，例如樹莓派上運(yùn)行的服務(wù)對互聯(lián)網(wǎng)或本地網(wǎng)絡(luò)中其他設(shè)備資源的訪問請求。示例包括由樹莓派上運(yùn)行的Web服務(wù)器發(fā)起的Web請求，或從互聯(lián)網(wǎng)獲取數(shù)據(jù)的軟件更新。

出于安全和隱私原因，控制出站流量也很重要?？梢愿鶕?jù)特定條件（如目標(biāo)IP地址、目標(biāo)端口、協(xié)議等）配置防火墻規(guī)則，以允許或拒絕出站流量。這有助于防止樹莓派與外部目標(biāo)進(jìn)行未經(jīng)授權(quán)的通信，或控制對特定資源的訪問。

轉(zhuǎn)發(fā)流量

轉(zhuǎn)發(fā)流量是指通過樹莓派從一個(gè)網(wǎng)絡(luò)接口傳輸?shù)搅硪粋€(gè)網(wǎng)絡(luò)接口的數(shù)據(jù)包。這通常發(fā)生在樹莓派充當(dāng)不同網(wǎng)絡(luò)（如本地網(wǎng)絡(luò)和互聯(lián)網(wǎng)）之間的路由器或網(wǎng)關(guān)時(shí)。

防火墻規(guī)則也可用于控制轉(zhuǎn)發(fā)流量，允許根據(jù)特定條件（如源和目標(biāo)IP地址、端口、協(xié)議等）定義規(guī)則，以允許或拒絕數(shù)據(jù)包的轉(zhuǎn)發(fā)。這有助于控制不同網(wǎng)絡(luò)段之間的流量流動(dòng)，并實(shí)施安全策略。

在樹莓派環(huán)境中，防火墻可以發(fā)揮幾個(gè)重要作用：

家庭網(wǎng)絡(luò)保護(hù)：如果將樹莓派用作連接家庭網(wǎng)絡(luò)的服務(wù)器或設(shè)備，防火墻可以通過控制哪些流量可以進(jìn)入或離開網(wǎng)絡(luò)來保護(hù)網(wǎng)絡(luò)上的設(shè)備和數(shù)據(jù)。

服務(wù)器安全：如果樹莓派充當(dāng)Web服務(wù)器，防火墻可以通過過濾和阻止不需要或惡意的請求來幫助保護(hù)其免受未經(jīng)授權(quán)的訪問嘗試。

遠(yuǎn)程訪問控制：如果通過SSH或其他服務(wù)遠(yuǎn)程訪問樹莓派，防火墻可以限制僅允許特定IP地址或IP地址范圍的訪問，從而提高安全性。

阻止不需要的流量：防火墻可以阻止某些類型的流量，如垃圾郵件流量、已知僵尸網(wǎng)絡(luò)流量或任何其他可能對樹莓派或網(wǎng)絡(luò)的安全構(gòu)成威脅的不需要的流量。

防火墻iptables

在樹莓派上配置防火墻通常涉及使用一個(gè)名為iptables的工具，它是一個(gè)用戶空間實(shí)用程序，允許系統(tǒng)管理員配置作為不同Netfilter模塊實(shí)現(xiàn)的Linux內(nèi)核防火墻的IP數(shù)據(jù)包過濾規(guī)則。

在樹莓派上配置防火墻（iptables）：

1.安裝iptables（如果尚未安裝）：

sudo apt-getupdatesudo apt install iptables

2.定義防火墻規(guī)則：

確定要允許或拒絕的流量。例如，如果希望允許SSH（端口22）和HTTP（端口80）流量，但拒絕所有其他入站流量，可以相應(yīng)地定義規(guī)則。

以下是如何允許SSH和HTTP流量并拒絕所有其他入站流量的示例：

sudo iptables -AINPUT-ptcp--dport22-j ACCEPT # Allow SSHsudo iptables -AINPUT-ptcp--dport80-j ACCEPT # Allow HTTPsudo iptables -AINPUT-j DROP # Dropallother incoming traffic

3.保存規(guī)則：

定義規(guī)則并確認(rèn)其按預(yù)期工作后，需要保存規(guī)則，以便在重啟后仍然有效?？梢允褂胕ptables-save命令完成此操作：

sudo iptables-save >/etc/iptables/rules.v4

4.確保在啟動(dòng)時(shí)恢復(fù)iptables規(guī)則：

sudo nano /etc/rc.local

編輯/etc/rc.local文件以在啟動(dòng)時(shí)加載保存的規(guī)則。打開文件進(jìn)行編輯：在文件中的exit 0行之前添加以下行：

/sbin/iptables-restore < /etc/iptables/rules.v4 Save the file and exit.

5.重啟樹莓派：

6.檢查iptables規(guī)則：

sudoiptables -L

重啟后，可以通過運(yùn)行以下命令檢查iptables規(guī)則是否正確應(yīng)用：此命令將顯示當(dāng)前活動(dòng)的iptables規(guī)則。

UFW（簡易防火墻）

是用于管理iptables防火墻規(guī)則的用戶友好型前端。它簡化了在樹莓派上配置防火墻的過程。

在樹莓派上配置UFW：

1.安裝ufw（如果尚未安裝）：

sudo apt updatesudo apt install ufwsudo ufwenable

2.啟用ufw：

此命令將啟動(dòng)防火墻并使其在啟動(dòng)時(shí)自動(dòng)啟動(dòng)。

3.設(shè)置默認(rèn)策略：

可以設(shè)置入站、出站和轉(zhuǎn)發(fā)流量的默認(rèn)策略。例如，要允許所有出站流量、拒絕所有入站流量和拒絕所有轉(zhuǎn)發(fā)流量，可以使用以下命令：

sudo ufwdefaultallow outgoingsudo ufwdefaultdeny incomingsudo ufwdefaultdeny forwarded

4.允許特定服務(wù)或端口：

可以使用ufw指定允許的特定服務(wù)或端口。例如，

sudoufwallow22/tcpsudoufwallow80/tcp

允許SSH（端口22）和HTTP（端口80）流量，可以使用以下命令：

sudoufwallowsshsudoufwallowhttp

也可以指定服務(wù)名稱而不是端口號，例如：

5.拒絕特定服務(wù)或端口（可選）：

如果希望明確拒絕某些服務(wù)或端口，可以使用deny

sudoufwdeny21/tcp

命令。例如，要拒絕FTP（端口21）流量，可以使用：

6.重新加載ufw：

對防火墻規(guī)則進(jìn)行更改后，需要重新加載ufw以使更改

sudoufw reload

生效：

7.檢查ufw狀態(tài)：

sudoufw status verbose

可以使用以下命令檢查ufw和防火墻規(guī)則的狀態(tài)：

此命令將顯示ufw的當(dāng)前狀態(tài)并列出所有配置的規(guī)則。

就這樣！現(xiàn)在已在樹莓派上使用ufw配置了防火墻。與直接操作iptables規(guī)則相比，ufw提供了更簡單的界面，使防火墻配置管理更加容易。

Gufw

Gufw是用于在Ubuntu和其他基于Debian的Linux發(fā)行版上管理簡易防火墻（ufw）的圖形界面。但是，在樹莓派操作系統(tǒng)（以前稱為Raspbian，樹莓派的官方操作系統(tǒng)）上通常不會(huì)默認(rèn)安裝它。

在樹莓派上配置GUFW

1.安裝 gufw:

sudoapt updatesudo apt install gufw

2.啟動(dòng)gufw:

安裝后，可以在應(yīng)用程序菜單中搜索gufw來啟動(dòng)它，或者

sudogufw

可以從命令行啟動(dòng)它：

3.配置防火墻規(guī)則：

啟動(dòng)gufw后，將看到一個(gè)圖形界面，可以在其中配置防火墻規(guī)則。可以啟用或禁用防火墻、允許或拒絕特定端口或應(yīng)用程序，并設(shè)置入站、出站和轉(zhuǎn)發(fā)流量的默認(rèn)策略。

4.應(yīng)用更改：

在gufw中配置防火墻規(guī)則后，請確保單擊“應(yīng)用”按鈕以應(yīng)用更改。

請記住，gufw只是ufw的圖形界面，因此通過gufw進(jìn)行的所有配置更改本質(zhì)上都是在后臺修改ufw規(guī)則。

如果更喜歡使用圖形界面來管理防火墻規(guī)則，或者對使用命令行不太熟悉，那么使用gufw將特別有幫助。

原文地址：

https://www.sunfounder.com/blogs/news/how-to-configure-the-firewall-in-raspberry-pi

如果覺得文章不錯(cuò)記得點(diǎn)贊，收藏，關(guān)注，轉(zhuǎn)發(fā)~

我們很樂意為您提供工業(yè)樹莓派的解決方案，項(xiàng)目有需求請聯(lián)系我們~