Linux防火墙推荐使用nftables,先明确“拦什么、放什么”再分步配置:创建filter表和input链并设默认DROP策略,放行lo、established/related连接、SSH/HTTP/HTTPS端口,限制Redis仅内网访问,可选禁ping;规则需保存至/etc/nftables.conf并启用服务以持久化。
Linux防火墙规则编写不难,关键在理清逻辑、分步验证。用iptables或nftables都可以,但当前主流发行版(如Ubuntu 22.04+、CentOS 8+)默认启用nftables,底层兼容iptables命令(通过iptables-nft封装),所以本教程以nftables为基准,兼顾iptables等效写法,全程可实操、可回退、不踩坑。
写规则前别急着敲命令,先列清楚业务需求。比如:
这些就是规则的“条件”和“动作”来源。漏掉一条就可能锁死自己,尤其远程服务器——务必预留备用通道(如控制台登录)或设置超时自动回滚。
nftables语法更简洁、性能更好、规则组织更清晰(支持table、chain、rule分层)。虽然iptables命令还能用,但实际走的是nft后端,建议直接学原生nft命令。
检查当前状态:
nft list ruleset
如果报错或无输出,说明规则为空或nft服务未运行(sudo systemctl start nftables)。
临时清空所有规则(测试环境可用):
sudo nft flush ruleset
典型场景:配置一个安全的默认策略(INPUT DROP),再按需放行。
① 创建基础表和链(若不存在):
sudo nft add table inet filter<br>sudo nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }→ 这一步设定了INPUT链默认拒绝,比先加一堆ACCEPT再最后DROP更安全。
② 允许本地回环、已建立连接:
sudo nft add rule inet filter input iifname "lo" accept<br>sudo nft add rule inet filter input ct state established,related accept
③ 放行SSH、HTTP、HTTPS(带注释更易维护):
sudo nft add rule inet filter input tcp dport {22, 80, 443} accept # allow ssh/http/https④ 限制Redis只对内网开放:
sudo nft add rule inet filter input ip saddr 192.168.1.0/24 tcp dport 6379 accept
⑤ 禁止ICMP ping(可选):
sudo nft add rule inet filter input icmp type echo-request drop
上述命令只是运行时生效,重启即失效。必须保存到配置文件:
sudo nft list ruleset > /etc/nftables.conf,并确保/etc/default/nftables中NFTABLES_ENABLED=1
sudo nft list ruleset > /etc/sysconfig/nftables.conf,然后sudo systemctl enable nftables
验证是否生效:sudo systemctl restart nftables && sudo nft list ruleset。有输出且结构一致,说明持久化成功。
⚠️ 小技巧:编辑/etc/nftables.conf后,用sudo nft -f /etc/nftables.conf重载,比重启服务更快,也便于调试。
基本上就这些。规则不在多,在准;不在快,在稳。每次改完用curl -I http://localhost或telnet your-server 22快速验证关键端口,再用nft monitor trace抓包看匹配路径——问题自然迎刃而解。
以上就是Linux防火墙规则如何编写_完整流程拆解让问题迎刃而解【教程】的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
716
收藏
取消收藏
