引言

防火墻是任何網絡包括樹莓派網絡中必不可少的工具。本質上，防火墻是內部網絡（如樹莓派網絡）與其他外部網絡（如互聯網）之間的安全屏障。其主要目的是控制和過濾網絡流量，根據預定義的規則允許或阻止某些連接。

網絡流量類型

入站流量、出站流量和轉發流量是指防火墻規則可以控制和管理的不同網絡流量類型。

入站流量

入站流量是指從外部來源發往樹莓派的數據包，例如來自互聯網或本地網絡中其他設備對樹莓派上運行服務的訪問請求。示例包括訪問Web服務器的請求、SSH連接或樹莓派上運行的任何其他服務。

配置防火墻時，可以根據各種條件（如源IP地址、目標端口、協議等）定義規則，以允許或拒絕入站流量。這有助于保護樹莓派免受未經授權的訪問或潛在的安全威脅。

出站流量

出站流量是指源自樹莓派并發往外部目標的數據包，例如樹莓派上運行的服務對互聯網或本地網絡中其他設備資源的訪問請求。示例包括由樹莓派上運行的Web服務器發起的Web請求，或從互聯網獲取數據的軟件更新。

出于安全和隱私原因，控制出站流量也很重要。可以根據特定條件（如目標IP地址、目標端口、協議等）配置防火墻規則，以允許或拒絕出站流量。這有助于防止樹莓派與外部目標進行未經授權的通信，或控制對特定資源的訪問。

轉發流量

轉發流量是指通過樹莓派從一個網絡接口傳輸到另一個網絡接口的數據包。這通常發生在樹莓派充當不同網絡（如本地網絡和互聯網）之間的路由器或網關時。

防火墻規則也可用于控制轉發流量，允許根據特定條件（如源和目標IP地址、端口、協議等）定義規則，以允許或拒絕數據包的轉發。這有助于控制不同網絡段之間的流量流動，并實施安全策略。

在樹莓派環境中，防火墻可以發揮幾個重要作用：

家庭網絡保護：如果將樹莓派用作連接家庭網絡的服務器或設備，防火墻可以通過控制哪些流量可以進入或離開網絡來保護網絡上的設備和數據。

服務器安全：如果樹莓派充當Web服務器，防火墻可以通過過濾和阻止不需要或惡意的請求來幫助保護其免受未經授權的訪問嘗試。

遠程訪問控制：如果通過SSH或其他服務遠程訪問樹莓派，防火墻可以限制僅允許特定IP地址或IP地址范圍的訪問，從而提高安全性。

阻止不需要的流量：防火墻可以阻止某些類型的流量，如垃圾郵件流量、已知僵尸網絡流量或任何其他可能對樹莓派或網絡的安全構成威脅的不需要的流量。

防火墻iptables

在樹莓派上配置防火墻通常涉及使用一個名為iptables的工具，它是一個用戶空間實用程序，允許系統管理員配置作為不同Netfilter模塊實現的Linux內核防火墻的IP數據包過濾規則。

在樹莓派上配置防火墻（iptables）：

1.安裝iptables（如果尚未安裝）：

sudo apt-getupdatesudo apt install iptables

2.定義防火墻規則：

確定要允許或拒絕的流量。例如，如果希望允許SSH（端口22）和HTTP（端口80）流量，但拒絕所有其他入站流量，可以相應地定義規則。

以下是如何允許SSH和HTTP流量并拒絕所有其他入站流量的示例：

sudo iptables -AINPUT-ptcp--dport22-j ACCEPT # Allow SSHsudo iptables -AINPUT-ptcp--dport80-j ACCEPT # Allow HTTPsudo iptables -AINPUT-j DROP # Dropallother incoming traffic

3.保存規則：

定義規則并確認其按預期工作后，需要保存規則，以便在重啟后仍然有效。可以使用iptables-save命令完成此操作：

sudo iptables-save >/etc/iptables/rules.v4

4.確保在啟動時恢復iptables規則：

sudo nano /etc/rc.local

編輯/etc/rc.local文件以在啟動時加載保存的規則。打開文件進行編輯：在文件中的exit 0行之前添加以下行：

/sbin/iptables-restore < /etc/iptables/rules.v4 Save the file and exit.

5.重啟樹莓派：

6.檢查iptables規則：

sudoiptables -L

重啟后，可以通過運行以下命令檢查iptables規則是否正確應用：此命令將顯示當前活動的iptables規則。

UFW（簡易防火墻）

是用于管理iptables防火墻規則的用戶友好型前端。它簡化了在樹莓派上配置防火墻的過程。

在樹莓派上配置UFW：

1.安裝ufw（如果尚未安裝）：

sudo apt updatesudo apt install ufwsudo ufwenable

2.啟用ufw：

此命令將啟動防火墻并使其在啟動時自動啟動。

3.設置默認策略：

可以設置入站、出站和轉發流量的默認策略。例如，要允許所有出站流量、拒絕所有入站流量和拒絕所有轉發流量，可以使用以下命令：

sudo ufwdefaultallow outgoingsudo ufwdefaultdeny incomingsudo ufwdefaultdeny forwarded

4.允許特定服務或端口：

可以使用ufw指定允許的特定服務或端口。例如，

sudoufwallow22/tcpsudoufwallow80/tcp

允許SSH（端口22）和HTTP（端口80）流量，可以使用以下命令：

sudoufwallowsshsudoufwallowhttp

也可以指定服務名稱而不是端口號，例如：

5.拒絕特定服務或端口（可選）：

如果希望明確拒絕某些服務或端口，可以使用deny

sudoufwdeny21/tcp

命令。例如，要拒絕FTP（端口21）流量，可以使用：

6.重新加載ufw：

對防火墻規則進行更改后，需要重新加載ufw以使更改

sudoufw reload

生效：

7.檢查ufw狀態：

sudoufw status verbose

可以使用以下命令檢查ufw和防火墻規則的狀態：

此命令將顯示ufw的當前狀態并列出所有配置的規則。

就這樣！現在已在樹莓派上使用ufw配置了防火墻。與直接操作iptables規則相比，ufw提供了更簡單的界面，使防火墻配置管理更加容易。

Gufw

Gufw是用于在Ubuntu和其他基于Debian的Linux發行版上管理簡易防火墻（ufw）的圖形界面。但是，在樹莓派操作系統（以前稱為Raspbian，樹莓派的官方操作系統）上通常不會默認安裝它。

在樹莓派上配置GUFW

1.安裝 gufw:

sudoapt updatesudo apt install gufw

2.啟動gufw:

安裝后，可以在應用程序菜單中搜索gufw來啟動它，或者

sudogufw

可以從命令行啟動它：

3.配置防火墻規則：

啟動gufw后，將看到一個圖形界面，可以在其中配置防火墻規則。可以啟用或禁用防火墻、允許或拒絕特定端口或應用程序，并設置入站、出站和轉發流量的默認策略。

4.應用更改：

在gufw中配置防火墻規則后，請確保單擊“應用”按鈕以應用更改。

請記住，gufw只是ufw的圖形界面，因此通過gufw進行的所有配置更改本質上都是在后臺修改ufw規則。

如果更喜歡使用圖形界面來管理防火墻規則，或者對使用命令行不太熟悉，那么使用gufw將特別有幫助。

原文地址：

https://www.sunfounder.com/blogs/news/how-to-configure-the-firewall-in-raspberry-pi

如果覺得文章不錯記得點贊，收藏，關注，轉發~

我們很樂意為您提供工業樹莓派的解決方案，項目有需求請聯系我們~