Linux防火墙规则如何编写_完整流程拆解让问题迎刃而解【教程】

Linux防火墙推荐使用nftables，先明确“拦什么、放什么”再分步配置：创建filter表和input链并设默认DROP策略，放行lo、established/related连接、SSH/HTTP/HTTPS端口，限制Redis仅内网访问，可选禁ping；规则需保存至/etc/nftables.conf并启用服务以持久化。

Linux防火墙规则编写不难，关键在理清逻辑、分步验证。用iptables或nftables都可以，但当前主流发行版（如Ubuntu 22.04+、CentOS 8+）默认启用nftables，底层兼容iptables命令（通过iptables-nft封装），所以本教程以nftables为基准，兼顾iptables等效写法，全程可实操、可回退、不踩坑。

明确目标：先想清楚“要拦什么、放什么”

写规则前别急着敲命令，先列清楚业务需求。比如：

• 只允许SSH（22端口）、HTTP（80）、HTTPS（443）入站，其余全部拒绝
• 允许本机主动访问外网（出站不限），但禁止外部ping本机
• 某服务（如Redis 6379）仅限内网192.168.1.0/24访问

这些就是规则的“条件”和“动作”来源。漏掉一条就可能锁死自己，尤其远程服务器——务必预留备用通道（如控制台登录）或设置超时自动回滚。

选择工具：nftables是现在标准，iptables可过渡

nftables语法更简洁、性能更好、规则组织更清晰（支持table、chain、rule分层）。虽然iptables命令还能用，但实际走的是nft后端，建议直接学原生nft命令。

检查当前状态：

nft list ruleset

如果报错或无输出，说明规则为空或nft服务未运行（sudo systemctl start nftables）。

临时清空所有规则（测试环境可用）：

sudo nft flush ruleset

编写核心规则：按链（chain）逐条添加

典型场景：配置一个安全的默认策略（INPUT DROP），再按需放行。

① 创建基础表和链（若不存在）：

sudo nft add table inet filter<br>sudo nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }

→ 这一步设定了INPUT链默认拒绝，比先加一堆ACCEPT再最后DROP更安全。

一站式虚拟主播视频生产和编辑平台

② 允许本地回环、已建立连接：

sudo nft add rule inet filter input iifname "lo" accept<br>sudo nft add rule inet filter input ct state established,related accept

③ 放行SSH、HTTP、HTTPS（带注释更易维护）：

sudo nft add rule inet filter input tcp dport {22, 80, 443} accept # allow ssh/http/https

④ 限制Redis只对内网开放：

sudo nft add rule inet filter input ip saddr 192.168.1.0/24 tcp dport 6379 accept

⑤ 禁止ICMP ping（可选）：

sudo nft add rule inet filter input icmp type echo-request drop

保存与持久化：重启不丢规则

上述命令只是运行时生效，重启即失效。必须保存到配置文件：

• Debian/Ubuntu：sudo nft list ruleset > /etc/nftables.conf，并确保/etc/default/nftables中NFTABLES_ENABLED=1
• RHEL/CentOS/Fedora：sudo nft list ruleset > /etc/sysconfig/nftables.conf，然后sudo systemctl enable nftables

验证是否生效：sudo systemctl restart nftables && sudo nft list ruleset。有输出且结构一致，说明持久化成功。

⚠️ 小技巧：编辑/etc/nftables.conf后，用sudo nft -f /etc/nftables.conf重载，比重启服务更快，也便于调试。

基本上就这些。规则不在多，在准；不在快，在稳。每次改完用curl -I http://localhost或telnet your-server 22快速验证关键端口，再用nft monitor trace抓包看匹配路径——问题自然迎刃而解。

以上就是Linux防火墙规则如何编写_完整流程拆解让问题迎刃而解【教程】的详细内容，更多请关注其它相关文章！

# 内网  # seo怎样添加外链  # 网站建设策划方案范本  # 网站建设的入门书籍  # 企业推广平台网站排名  # 安庆seo推广有哪些  # 贵州网站推广案例  # 网站结构优化的方法  # 枣庄提供网站建设  # 广水网站推广方案  # 定西短视频推广网站  # 不干净  # 本机  # 可选  # 是怎样  # linux  # 重启  # 主播  # 迎刃而解  # red  # 配置文件  # ai  # curl  # 后端  # 工具  # ubuntu  # 端口  # 防火墙  # centos  # redis 

相关栏目： 【 Google疑问12 】 【 Facebook疑问10 】 【 优化推广96088 】 【 技术知识133117 】 【 IDC资讯59369 】 【 网络运营7196 】 【 IT资讯61894 】

相关推荐： 《小宇宙》标记不友善评论方法  Win10如何彻底关闭OneDrive Win10禁用云同步功能【纯净】  win11讲述人怎么关闭 Win11屏幕朗读辅助功能禁用方法【技巧】  腾讯QQ邮箱官方入口 QQ邮箱网页版登录平台  React应用中Commerce.js数据加载与状态管理最佳实践  微信注销后银行卡解绑了吗_微信注销后银行卡解绑状态  mysql导入sql文件能分批导入吗_mysql分批次导入大sql文件的实用技巧  汽水音乐在线听歌网页版 汽水音乐在线听歌网页版入口  WooCommerce 购物车：始终显示所有交叉销售商品  搜狗浏览器如何查找页面中的文字 搜狗浏览器Ctrl+F页面搜索功能  蛙漫2(台版)正版官网 2025免费网页版分享  iPhone 15 Pro如何查看存储空间占用_iPhone 15 Pro存储空间查看教程  抖音评论无法发送如何修复 抖音评论功能操作指南  Mac如何开启画中画模式_Mac Safari浏览器视频画中画功能  《洛克王国：世界》国家队搭配攻略  《宝可梦大集结》S4冠军之路开始时间介绍  word页码灰色不能用如何解决  网易云音乐闹钟铃声设置教程  AngularJS动态内容中DOM元素查找的时序问题及$timeout解决方案  国际经济与贸易就业方向解析  《爱笔思画x》涂色教程  店铺如何做视频号推广？做视频号推广有用吗？  iPhone 14 Pro如何更改区域设置_iPhone 14 Pro地区语言修改教程  风车动漫官网首页入口登录 风车动漫在线观看正版地址  天堂漫画网页版在线阅读 天堂漫画手机版入口  纯CSS实现自适应宽度与响应式布局的水平按钮组  C++怎么实现一个红黑树_C++高级数据结构与平衡二叉搜索树  J*aScript模块加载器_RequireJS原理分析  Go反射进阶：访问内嵌结构体中的被遮蔽方法  被称为海蜈蚣的海洋动物是  智学网app怎么登录忘记密码_智学网app忘记密码找回与重新登录操作方法  Python高效统计字典嵌套列表值在目标列表中的出现次数  酷狗音乐多音轨设置教程  优化 React onClick 事件处理：函数引用与箭头函数的对比  抖音手机分身两个账号怎么切换？分身两个系统是一样的吗？  J*a中导出MySQL表为SQL脚本的两种方法  苹果手机手电筒无法开启  雨课堂官网在线登录 网页版雨课堂登录链接  yandex网页版直接登录 yandex官方入口平台访问方法  手机自动关机是怎么回事？如何修复？手机异常关机的原因排查与修复技巧  J*aScript装饰器_元编程实战  PHP实现等比数列：构建数组元素基于前一个值递增的方法  如何在CSS中实现盒模型多列间距_grid-gap与padding结合  驱动人生：游戏修复指南  荣耀 Magic10 Pro 系统更新提示失败_荣耀 Magic10 Pro 升级修复  J*aScript中高效处理用户输入：从Keyup事件到表单提交的优化实践  WPS长文档分栏排版不乱方法_WPS分栏+分节符报纸排版教程  《星露谷物语》克林特好感度事件介绍  win11自带录屏文件保存在哪里 Win11 Game Bar录制视频默认路径【分享】  iPhone14无法连接蓝牙设备如何解决 

 2025-12-20