引言

防火墻是任何網(wǎng)絡(luò)包括樹莓派網(wǎng)絡(luò)中必不可少的工具。本質(zhì)上，防火墻是內(nèi)部網(wǎng)絡(luò)（如樹莓派網(wǎng)絡(luò)）與其他外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）之間的安全屏障。其主要目的是控制和過濾網(wǎng)絡(luò)流量，根據(jù)預(yù)定義的規(guī)則允許或阻止某些連接。

網(wǎng)絡(luò)流量類型

入站流量、出站流量和轉(zhuǎn)發(fā)流量是指防火墻規(guī)則可以控制和管理的不同網(wǎng)絡(luò)流量類型。

入站流量

入站流量是指從外部來源發(fā)往樹莓派的數(shù)據(jù)包，例如來自互聯(lián)網(wǎng)或本地網(wǎng)絡(luò)中其他設(shè)備對樹莓派上運行服務(wù)的訪問請求。示例包括訪問Web服務(wù)器的請求、SSH連接或樹莓派上運行的任何其他服務(wù)。

配置防火墻時，可以根據(jù)各種條件（如源IP地址、目標端口、協(xié)議等）定義規(guī)則，以允許或拒絕入站流量。這有助于保護樹莓派免受未經(jīng)授權(quán)的訪問或潛在的安全威脅。

出站流量

出站流量是指源自樹莓派并發(fā)往外部目標的數(shù)據(jù)包，例如樹莓派上運行的服務(wù)對互聯(lián)網(wǎng)或本地網(wǎng)絡(luò)中其他設(shè)備資源的訪問請求。示例包括由樹莓派上運行的Web服務(wù)器發(fā)起的Web請求，或從互聯(lián)網(wǎng)獲取數(shù)據(jù)的軟件更新。

出于安全和隱私原因，控制出站流量也很重要。可以根據(jù)特定條件（如目標IP地址、目標端口、協(xié)議等）配置防火墻規(guī)則，以允許或拒絕出站流量。這有助于防止樹莓派與外部目標進行未經(jīng)授權(quán)的通信，或控制對特定資源的訪問。

轉(zhuǎn)發(fā)流量

轉(zhuǎn)發(fā)流量是指通過樹莓派從一個網(wǎng)絡(luò)接口傳輸?shù)搅硪粋€網(wǎng)絡(luò)接口的數(shù)據(jù)包。這通常發(fā)生在樹莓派充當(dāng)不同網(wǎng)絡(luò)（如本地網(wǎng)絡(luò)和互聯(lián)網(wǎng)）之間的路由器或網(wǎng)關(guān)時。

防火墻規(guī)則也可用于控制轉(zhuǎn)發(fā)流量，允許根據(jù)特定條件（如源和目標IP地址、端口、協(xié)議等）定義規(guī)則，以允許或拒絕數(shù)據(jù)包的轉(zhuǎn)發(fā)。這有助于控制不同網(wǎng)絡(luò)段之間的流量流動，并實施安全策略。

在樹莓派環(huán)境中，防火墻可以發(fā)揮幾個重要作用：

家庭網(wǎng)絡(luò)保護：如果將樹莓派用作連接家庭網(wǎng)絡(luò)的服務(wù)器或設(shè)備，防火墻可以通過控制哪些流量可以進入或離開網(wǎng)絡(luò)來保護網(wǎng)絡(luò)上的設(shè)備和數(shù)據(jù)。

服務(wù)器安全：如果樹莓派充當(dāng)Web服務(wù)器，防火墻可以通過過濾和阻止不需要或惡意的請求來幫助保護其免受未經(jīng)授權(quán)的訪問嘗試。

遠程訪問控制：如果通過SSH或其他服務(wù)遠程訪問樹莓派，防火墻可以限制僅允許特定IP地址或IP地址范圍的訪問，從而提高安全性。

阻止不需要的流量：防火墻可以阻止某些類型的流量，如垃圾郵件流量、已知僵尸網(wǎng)絡(luò)流量或任何其他可能對樹莓派或網(wǎng)絡(luò)的安全構(gòu)成威脅的不需要的流量。

防火墻iptables

在樹莓派上配置防火墻通常涉及使用一個名為iptables的工具，它是一個用戶空間實用程序，允許系統(tǒng)管理員配置作為不同Netfilter模塊實現(xiàn)的Linux內(nèi)核防火墻的IP數(shù)據(jù)包過濾規(guī)則。

在樹莓派上配置防火墻（iptables）：

1.安裝iptables（如果尚未安裝）：

sudo apt-getupdatesudo apt install iptables

2.定義防火墻規(guī)則：

確定要允許或拒絕的流量。例如，如果希望允許SSH（端口22）和HTTP（端口80）流量，但拒絕所有其他入站流量，可以相應(yīng)地定義規(guī)則。

以下是如何允許SSH和HTTP流量并拒絕所有其他入站流量的示例：

sudo iptables -AINPUT-ptcp--dport22-j ACCEPT # Allow SSHsudo iptables -AINPUT-ptcp--dport80-j ACCEPT # Allow HTTPsudo iptables -AINPUT-j DROP # Dropallother incoming traffic

3.保存規(guī)則：

定義規(guī)則并確認其按預(yù)期工作后，需要保存規(guī)則，以便在重啟后仍然有效。可以使用iptables-save命令完成此操作：

sudo iptables-save >/etc/iptables/rules.v4

4.確保在啟動時恢復(fù)iptables規(guī)則：

sudo nano /etc/rc.local

編輯/etc/rc.local文件以在啟動時加載保存的規(guī)則。打開文件進行編輯：在文件中的exit 0行之前添加以下行：

/sbin/iptables-restore < /etc/iptables/rules.v4 Save the file and exit.

5.重啟樹莓派：

6.檢查iptables規(guī)則：

sudoiptables -L

重啟后，可以通過運行以下命令檢查iptables規(guī)則是否正確應(yīng)用：此命令將顯示當(dāng)前活動的iptables規(guī)則。

UFW（簡易防火墻）

是用于管理iptables防火墻規(guī)則的用戶友好型前端。它簡化了在樹莓派上配置防火墻的過程。

在樹莓派上配置UFW：

1.安裝ufw（如果尚未安裝）：

sudo apt updatesudo apt install ufwsudo ufwenable

2.啟用ufw：

此命令將啟動防火墻并使其在啟動時自動啟動。

3.設(shè)置默認策略：

可以設(shè)置入站、出站和轉(zhuǎn)發(fā)流量的默認策略。例如，要允許所有出站流量、拒絕所有入站流量和拒絕所有轉(zhuǎn)發(fā)流量，可以使用以下命令：

sudo ufwdefaultallow outgoingsudo ufwdefaultdeny incomingsudo ufwdefaultdeny forwarded

4.允許特定服務(wù)或端口：

可以使用ufw指定允許的特定服務(wù)或端口。例如，

sudoufwallow22/tcpsudoufwallow80/tcp

允許SSH（端口22）和HTTP（端口80）流量，可以使用以下命令：

sudoufwallowsshsudoufwallowhttp

也可以指定服務(wù)名稱而不是端口號，例如：

5.拒絕特定服務(wù)或端口（可選）：

如果希望明確拒絕某些服務(wù)或端口，可以使用deny

sudoufwdeny21/tcp

命令。例如，要拒絕FTP（端口21）流量，可以使用：

6.重新加載ufw：

對防火墻規(guī)則進行更改后，需要重新加載ufw以使更改

sudoufw reload

生效：

7.檢查ufw狀態(tài)：

sudoufw status verbose

可以使用以下命令檢查ufw和防火墻規(guī)則的狀態(tài)：

此命令將顯示ufw的當(dāng)前狀態(tài)并列出所有配置的規(guī)則。

就這樣！現(xiàn)在已在樹莓派上使用ufw配置了防火墻。與直接操作iptables規(guī)則相比，ufw提供了更簡單的界面，使防火墻配置管理更加容易。

Gufw

Gufw是用于在Ubuntu和其他基于Debian的Linux發(fā)行版上管理簡易防火墻（ufw）的圖形界面。但是，在樹莓派操作系統(tǒng)（以前稱為Raspbian，樹莓派的官方操作系統(tǒng)）上通常不會默認安裝它。

在樹莓派上配置GUFW

1.安裝 gufw:

sudoapt updatesudo apt install gufw

2.啟動gufw:

安裝后，可以在應(yīng)用程序菜單中搜索gufw來啟動它，或者

sudogufw

可以從命令行啟動它：

3.配置防火墻規(guī)則：

啟動gufw后，將看到一個圖形界面，可以在其中配置防火墻規(guī)則?？梢詥⒂没蚪梅阑饓?、允許或拒絕特定端口或應(yīng)用程序，并設(shè)置入站、出站和轉(zhuǎn)發(fā)流量的默認策略。

4.應(yīng)用更改：

在gufw中配置防火墻規(guī)則后，請確保單擊“應(yīng)用”按鈕以應(yīng)用更改。

請記住，gufw只是ufw的圖形界面，因此通過gufw進行的所有配置更改本質(zhì)上都是在后臺修改ufw規(guī)則。

如果更喜歡使用圖形界面來管理防火墻規(guī)則，或者對使用命令行不太熟悉，那么使用gufw將特別有幫助。

原文地址：

https://www.sunfounder.com/blogs/news/how-to-configure-the-firewall-in-raspberry-pi

如果覺得文章不錯記得點贊，收藏，關(guān)注，轉(zhuǎn)發(fā)~

我們很樂意為您提供工業(yè)樹莓派的解決方案，項目有需求請聯(lián)系我們~