本文详细讲解如何在宝塔面板中修改系统防火墙端口策略,包括添加/删除端口、设置IP白名单、批量操作等实用技巧,帮助用户快速掌握服务器安全配置方法,适用于CentOS/Ubuntu等主流Linux系统。
一、防火墙端口策略的重要性
系统防火墙是服务器安全的第一道防线,合理的端口策略能够:
- 阻止恶意扫描和未授权访问
- 仅开放必要服务端口降低攻击面
- 实现IP级别的访问控制
二、访问宝塔防火墙管理界面
登录宝塔面板后,通过以下两种方式进入防火墙管理:
- 左侧导航栏 安全 → 系统防火墙
- 面板首页 安全防护 快捷入口
三、基础端口操作
1. 添加放行端口
示例:放行TCP 3306端口(MySQL默认端口)
firewall-cmd --zone=public --add-port=3306/tcp --permanent
firewall-cmd --reload宝塔可视化操作步骤:
- 点击 添加端口规则 按钮
- 填写端口号(支持单个端口或范围如8000-9000)
- 选择协议类型(TCP/UDP)
- 设置备注信息(建议标注用途)
- 点击 提交 保存
2. 删除端口规则
命令行删除端口示例
firewall-cmd --zone=public --remove-port=3306/tcp --permanent面板操作:在规则列表中找到目标端口,点击右侧 删除 按钮
四、高级策略配置
1. IP白名单设置
限制特定IP访问端口:
仅允许192.168.1.100访问22端口
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="22" accept'宝塔操作路径:防火墙 → IP规则 → 添加IP白名单
2. 端口转发配置
将80端口转发到内网8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=80803. 批量导入导出
通过 规则备份 功能可:
- 导出当前所有规则为JSON文件
- 在其他服务器快速导入相同配置
五、常见问题排查
| 问题现象 | 解决方案 |
|---|---|
| 端口添加后仍未生效 | 1. 检查firewalld服务状态 2. 确认未与云平台安全组冲突 |
| 误删重要端口导致失联 | 通过VNC连接服务器执行:firewall-cmd --add-port=22/tcp --permanent |
六、最佳实践建议
- 生产环境建议关闭SSH默认22端口
- Web服务端口应配合Fail2Ban防爆破
- 定期审计端口使用情况(宝塔提供端口占用检测)
评论