Linux防火墙规则如何编写_最佳实践总结助你快速突破【教程】

新闻中心 NEWS CENTER

2025-12-14

浏览次数：次

Linux防火墙规则编写核心是“最小权限原则”+“明确流向控制”，推荐nftables；默认策略设为DROP，先放行lo、ESTABLISHED/RELATED连接，再按需精准开放SSH、HTTP/HTTPS等端口，并限制连接频率，最后保存规则防重启丢失。

linux防火墙规则如何编写_最佳实践总结助你快速突破【教程】

Linux防火墙规则编写核心在于“最小权限原则”+“明确流向控制”，用 iptables 或 nftables（推荐新系统用 nftables）实现，关键不是堆规则，而是理清“谁访问谁、走什么协议、开哪几个端口、默认怎么处理”。

绝大多数安全问题源于默认允许。务必把默认策略设为 DROP：

iptables：运行 iptables -P INPUT DROP、iptables -P FORWARD DROP、iptables -P OUTPUT ACCEPT（出站通常宽松些）
nftables：在 base chain 中设 policy drop，例如：nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
切记：执行前确保已有 SSH 规则且已测试连通，否则可能锁死自己

别写 “-s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT” 就完事——要加状态跟踪和连接限制：

SSH 安全写法（iptables）：iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
HTTP/HTTPS（仅限 Web 服务器）：iptables -A INPUT -p tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
本地回环必须放通：iptables -A INPUT -i lo -j ACCEPT（所有规则前建议加这条）

无状态规则易被绕过。实际生效的几乎都依赖连接追踪：

挖错网

一款支持文本、图片、视频纠错和AIGC检测的内容审核校对平台。

185 查看详情挖错网

只允许已建立或相关连接响应：iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
nftables 对应写法：nft add rule inet filter input ct state established,related accept
这条规则通常放在 INPUT 链靠前位置（但要在 lo 之后、具体服务规则之前）

内存规则重启即丢。必须固化：

iptables：用 iptables-s*e > /etc/iptables/rules.v4（Debian/Ubuntu）或 service iptables s*e（CentOS 7 及更早）
nftables：导出为文件 nft list ruleset > /etc/nftables.conf，并启用 systemd 服务：systemctl enable nftables
每次修改后，先 nft -f /etc/nftables.conf 或 iptables-restore 测试，再确认开机加载

基本上就这些。不复杂，但容易忽略状态匹配、默认策略和持久化三个环节。写规则前先画张草图：本机哪些服务对外？哪些IP需要访问？哪些出向连接必须允许？照着画的来，比抄模板更稳。

以上就是Linux防火墙规则如何编写_最佳实践总结助你快速突破【教程】的详细内容，更多请关注其它相关文章！