Linux防火墙开放端口命令全攻略（2025最新版）｜firewalld、iptables、ufw实战详解-拾贝生活号

在Linux系统运维中，正确配置防火墙开放端口是保障服务正常运行与系统安全的关键一步。无论是部署Web服务（80/443端口）、数据库（3306端口），还是运行Docker、SSH等应用，都需要在防火墙中放行相应端口。

Linux防火墙开放端口命令全攻略（2025最新版）｜firewalld、iptables、ufw实战详解

据安全统计，超过68%的Linux服务器安全问题源于不当的端口配置。因此，掌握主流防火墙工具的开放端口命令，不仅关乎服务可用性，更是系统安全的基石。

本文将为你系统梳理Linux下三种主流防火墙工具（firewalld、iptables、ufw）的端口开放命令，涵盖永久规则、临时规则、查看与删除操作，并附带安全最佳实践，助你高效、安全地管理Linux防火墙。

为什么需要在Linux防火墙中开放端口？

Linux系统默认启用防火墙以阻止未经授权的入站连接。当你启动一个网络服务（如Nginx、MySQL）时，若对应端口未在防火墙中放行，外部用户将无法访问该服务。

例如：

启动Docker时报错 Job for docker.service failed，可能就是因为2375/2376等端口被防火墙拦截。
Web服务无法访问？检查80/443端口是否已开放。

因此，开放端口是服务上线前的必要步骤。

三大主流防火墙工具及开放端口命令

✅ 方法1：使用 firewalld（CentOS 7+/RHEL 7+/Fedora 推荐）

firewalld 是现代Linux发行版的默认防火墙管理工具，支持动态配置，无需重启服务。

1. 基本命令

# 查看防火墙状态
sudo firewall-cmd --state

# 启动防火墙
sudo systemctl start firewalld

# 设置开机自启
sudo systemctl enable firewalld

2. 开放端口命令

# 临时开放端口（重启后失效）
sudo firewall-cmd --add-port=80/tcp
sudo firewall-cmd --add-port=443/tcp

# 永久开放端口（推荐）
sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=3306/tcp
sudo firewall-cmd --permanent --add-port=8000-9000/tcp  # 开放端口范围

说明：--zone=public 指定作用域，--permanent 表示永久生效。

3. 重新加载规则

# 添加永久规则后必须重载
sudo firewall-cmd --reload

4. 查看已开放端口

# 查看所有开放端口
sudo firewall-cmd --list-ports

# 查看永久规则
sudo firewall-cmd --permanent --list-ports

# 查看指定区域的端口
sudo firewall-cmd --zone=public --list-ports

# 查看所有规则（含服务、端口等）
sudo firewall-cmd --list-all

5. 移除端口

# 永久移除端口
sudo firewall-cmd --permanent --remove-port=8080/tcp

# 重载生效
sudo firewall-cmd --reload

6. 查询端口是否开放

sudo firewall-cmd --zone=public --query-port=80/tcp
# 返回 success 表示已开放

✅ 方法2：使用 ufw（Ubuntu/Debian 推荐）

ufw（Uncomplicated Firewall）是Ubuntu系统上简化防火墙配置的工具，语法直观易用。

1. 启用UFW

# 首次使用需启用
sudo ufw enable

# 查看状态
sudo ufw status verbose

2. 开放端口命令

# 开放单个端口
sudo ufw allow 22/tcp      # SSH
sudo ufw allow 80/tcp      # HTTP
sudo ufw allow 443/tcp     # HTTPS

# 开放端口范围
sudo ufw allow 8000:9000/tcp

# 限制IP访问特定端口
sudo ufw allow from 192.168.1.100 to any port 3306

# 删除规则（先查看编号）
sudo ufw status numbered
sudo ufw delete 2          # 删除编号为2的规则

优点：命令简洁，适合新手。
注意：Ubuntu 20.04+ 默认可能未安装，可通过 sudo apt install ufw 安装。

✅ 方法3：使用 iptables（传统方法，兼容老系统）

iptables 是Linux传统的防火墙工具，虽然逐渐被firewalld取代，但在CentOS 6等旧系统中仍广泛使用。

1. 开放端口命令

# 开放TCP 80端口
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 开放UDP 53端口（DNS）
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT

# 允许特定IP访问
sudo iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT

2. 保存规则（CentOS/RHEL）

# 保存规则，防止重启丢失
sudo service iptables save

# 或使用
sudo iptables-save > /etc/iptables/rules.v4

3. 查看规则

sudo iptables -L -n -v

缺点：规则复杂，重启后易丢失，建议新项目使用firewalld或ufw。

高级技巧与安全最佳实践

🔐 安全建议

最小权限原则：只开放必要的端口，避免全端口开放。
定期审计：使用 netstat -tuln 或 ss -tuln 查看当前监听端口。
修改默认端口：如将SSH从22改为非标准端口，减少暴力破解风险。
结合fail2ban：自动封禁异常IP，增强防护。
使用白名单：对数据库、管理后台等敏感服务，限制访问IP。

⚙️ 高级配置示例

# firewalld：端口转发（将80端口转到8080）
sudo firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080

# iptables：限速防护（防DDoS）
sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

# iptables：记录SSH访问日志
sudo iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH Access: "

常见问题排查

问题：开放端口后服务仍无法访问？
检查：1）服务是否启动；2）SELinux是否限制；3）云服务器安全组是否放行。
问题：firewall-cmd 命令不存在？
解决：安装firewalld：sudo yum install firewalld（CentOS）或 sudo apt install firewalld（Ubuntu）。
问题：规则添加后未生效？
注意：永久规则必须执行 firewall-cmd --reload 才能生效！