Linux防火墙规则如何编写_完整流程拆解让问题迎刃而解【教程】

9次阅读

Linux 防火墙推荐使用 nftables,先明确“拦什么、放什么”再分步配置:创建 filter 表和 input 链并设默认 DROP 策略,放行 lo、established/related 连接、SSH/HTTP/HTTPS 端口,限制 Redis 仅内网访问,可选禁 ping;规则需保存至 /etc/nftables.conf 并启用服务以持久化。

Linux 防火墙规则如何编写_完整流程拆解让问题迎刃而解【教程】

Linux防火墙 规则编写不难,关键在理清逻辑、分步验证。用 iptablesnftables都可以,但当前主流发行版(如 Ubuntu 22.04+、CentOS 8+)默认启用 nftables,底层兼容iptables 命令(通过 iptables-nft 封装),所以本教程以 nftables 为基准,兼顾 iptables 等效写法,全程可实操、可回退、不踩坑。

明确目标:先想清楚“要拦什么、放什么”

写规则前别急着敲命令,先列清楚业务需求。比如:

  • 只允许 SSH(22端口)、HTTP(80)、HTTPS(443)入站,其余全部拒绝
  • 允许本机主动访问外网(出站不限),但禁止外部 ping 本机
  • 某服务(如 Redis 6379)仅限内网 192.168.1.0/24 访问

这些就是规则的“条件”和“动作”来源。漏掉一条就可能锁死自己,尤其远程服务器——务必预留备用通道(如控制台登录)或设置超时自动回滚。

选择 工具:nftables 是现在标准,iptables 可过渡

nftables语法更简洁、性能更好、规则组织更清晰(支持 table、chain、rule 分层)。虽然 iptables 命令还能用,但实际走的是 nft后端 ,建议直接学原生nft 命令。

检查当前状态:

nft list ruleset

如果报错或无输出,说明规则为空或 nft 服务未运行(sudo systemctl start nftables)。

临时清空所有规则(测试环境可用):

sudo nft flush ruleset

编写核心规则:按链(chain)逐条添加

典型场景:配置一个安全的默认策略(INPUT DROP),再按需放行。

① 创建基础表和链(若不存在):

sudo nft add table inet filter<br>sudo nft add chain inet filter input {type filter hook input priority 0 ; policy drop ;}

→ 这一步设定了 INPUT 链默认拒绝,比先加一堆 ACCEPT 再最后 DROP 更安全。

② 允许本地回环、已建立连接:

sudo nft add rule inet filter input iifname "lo" accept<br>sudo nft add rule inet filter input ct state established,related accept

③ 放行 SSH、HTTP、HTTPS(带注释更易维护):

sudo nft add rule inet filter input tcp dport {22, 80, 443} accept # allow ssh/http/https

④ 限制 Redis 只对内网开放:

sudo nft add rule inet filter input ip saddr 192.168.1.0/24 tcp dport 6379 accept

⑤ 禁止 ICMP ping(可选):

sudo nft add rule inet filter input icmp type echo-request drop

保存与持久化:重启不丢规则

上述命令只是运行时生效,重启即失效。必须保存到 配置文件

  • Debian/Ubuntu:sudo nft list ruleset > /etc/nftables.conf,并确保 /etc/default/nftablesNFTABLES_ENABLED=1
  • RHEL/CentOS/Fedora:sudo nft list ruleset > /etc/sysconfig/nftables.conf,然后sudo systemctl enable nftables

验证是否生效:sudo systemctl restart nftables && sudo nft list ruleset。有输出且结构一致,说明持久化成功。

⚠️ 小技巧:编辑 /etc/nftables.conf 后,用 sudo nft -f /etc/nftables.conf 重载,比重启服务更快,也便于调试。

基本上就这些。规则不在多,在准;不在快,在稳。每次改完用 curl -I http://localhosttelnet your-server 22快速验证关键端口,再用 nft monitor trace 抓包看匹配路径——问题自然迎刃而解。

发表于:互联网运维
2025-12-20
# ai# centos# cURL# debian# default# Filter# http# https# input# linux# red# redis# ssh# table# ubuntu# 后端# 堆# 封装# 工具# 端口# 配置文件# 防火墙
复制链接
LinuxShell脚本如何加锁_flock使用实战讲解【教程】
Linux日志怎么分析_操作步骤详解提升实战能力【技巧】
Linux网络连接异常排查教程_TIMEWAIT与CLOSEWAIT
Linux日志审计如何配置_安全合规运维技巧【技巧】
text=ZqhQzanResources