Debian 13將預設防火牆改為iptables並設定開機自動啟動

Debian 13將預設防火牆改為iptables並設定開機自動啟動


------
前言
------

本教學適用Debian系統，將預設的 nftables/ufw 防火牆替换為 iptables，並透過 rc.local 開機自動載入防火牆規則


注意：操作需root權限，調整防火牆規則可能導致SSH斷線。執行前請確認你有VNC或實體終端機存取權限


----------------------
安裝iptables防火牆
----------------------

在安裝新工具前，必須先移除可能產生衝突的現有防火牆服務


更新套件清單
apt update


安裝iptables
apt install -y iptables


確認安裝版本
iptables --version


應顯示為 iptables v1.8.x (nf_tables) 類似的訊息



移除nftables防火牆 (如果已安裝)
apt remove --purge nftables


移除ufw防火牆 (如果已安裝)
apt remove --purge ufw



-------------------
確認iptables狀態
-------------------

查看目前規則 (預設應為空或僅有基本規則)
iptables -L -v



------------------------
建立防火牆規則腳本
------------------------

建立一個結構化的腳本，以便未來維護規則


建立腳本目錄
mkdir -p /usr/local/bin


建立防火牆腳本
vi /usr/local/bin/firewall.sh


請將提供的防火牆腳本 firewall.sh 內容貼上



接下來，編輯腳本以符合你的需求

# 設定禁止連線的IP，可使用空白分隔多個IP，也可以使用網段的寫法
BADIPS="198.108.0.0/16 141.212.0.0/16"


# 設定不可能出現的私有IP，請依照您的環境自行刪減網段
# 若您的IP為 192.168.x.x ，請刪除 192.168.0.0/16
IMPOSSIBLE_IPS="192.168.0.0/16"


# 允許對內連線的 TCP 通訊埠
# 格式：埠號 埠號,來源IP
# 注意：若前後設定有重疊，則系統將以後設定者為準
IN_TCP_PORTALLOWED="22,你的IP 888,你的IP 80 443"


ESC儲存並離開
:wq




設定腳本權限 (權限說明：700 表示僅 root 可讀寫執行，提高安全性)
chmod 700 /usr/local/bin/firewall.sh



-----------------
測試防火牆腳本
-----------------

執行腳本 (會進入測試模式，7秒後自動清除規則)
/usr/local/bin/firewall.sh


確認規則是否正常載入
iptables -L


若確認規則正確，使用 start 參數永久套用
/usr/local/bin/firewall.sh start




---------------------
設定開機自動啟動
---------------------

Debian近期版本預設不啟用rc.local，需要手動配置

網路找到 rc.local 設定開機自動啟動
https://u.sb/debian-rc-local/


查看 rc-local 服務設定檔
cat /lib/systemd/system/rc-local.service


檢查服務狀態
systemctl status rc-local


建立 /etc/rc.local 檔案並編輯
vi /etc/rc.local


複製貼上以下內容

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.


# 啟動自訂防火牆規則
/usr/local/bin/firewall.sh start

exit 0




ESC儲存並離開
:wq



設定rc.local權限
chmod 700 /etc/rc.local


啟用 rc-local 服務
systemctl enable --now rc-local



-----------
驗證設定
-----------

重開機
reboot


開機後確認防火牆規則，若成功執行，要看到你指定的IP有出現
iptables -L


確認 rc-local 服務狀態
systemctl status rc-local.service


應顯示 active (exited)

本帖最后于2月16日2月16日，由Jack编辑