Linux防火墙不直接划分网段,而是通过firewalld区域机制绑定接口或地址段实现安全边界,并配合路由隔离、命名空间及策略路由等协同强化分段实效。
Linux 防火墙本身不直接“划分网段”,但它是网络分段策略落地的关键执行层。真正实现分段靠的是子网规划与路由隔离,而防火墙负责在每个子网边界(物理接口、虚拟接口或逻辑区域)上强制执行访问控制——既阻止非法跨段通信,又精准放行必需的跨段服务。
firewalld 的 zone(区域)机制天然适配网络分段逻辑:每个区域可绑定到特定网卡或源地址段,代表一个安全边界。
允许跨段访问不能简单“开个端口”,必须明确来源、目标、协议和用途,避免扩大信任范围。
firewall-cmd --permanent --zone=db-zone --add-rich-rule='rule family="ipv4" source address="192.168.10.0/24" port port="3306" protocol="tcp" accept';仅靠防火墙规则无法防止路由层绕过。要确保分段真正生效,需与底层网络结构协同。
sysctl -w net.ipv4.ip_forward=0,避免主机成为非预期的跨段跳板;规则上线后,必须验证是否按预期工作,而非仅看命令返回 success。
nc -zv 172.16.20.10 3306,确认通断;同时用 tcpdump -i eth1 port 3306 在目标主机抓包,验证流量是否真经由指定接口到达;--permanent 参数并 --reload;iptables 规则须保存至系统启动加载文件(如 /etc/iptables/rules.v4),否则重启即失效;firewall-cmd --list-all-zones 或 iptables -L -v -n 查看命中计数,识别长期零匹配的冗余规则,及时清理。