Linux防火墙推荐使用nftables,先明确“拦什么、放什么”再分步配置:创建filter表和input链并设默认DROP策略,放行lo、established/related连接、SSH/HTTP/HTTPS端口,限制Redis仅内网访问,可选禁ping;规则需保存至/etc/nftables.conf并启用服务以持久化。
Linux防火墙规则编写不难,关键在理清逻辑、分步验证。用iptables或nftables都可以,但当前主流发行版(如Ubuntu 22.04+、CentOS 8+)默认启用nftables,底层兼容iptables命令(通过iptables-nft封装),所以本教程以nftables为基准,兼顾iptables等效写法,全程可实操、可回退、不踩坑。
明确目标:先想清楚“要拦什么、放什么”
写规则前别急着敲命令,先列清楚业务需求。比如:
- 只允许SSH(22端口)、HTTP(80)、HTTPS(443)入站,其余全部拒绝
- 允许本机主动访问外网(出站不限),但禁止外部ping本机
- 某服务(如Redis 6379)仅限内网192.168.1.0/24访问
这些就是规则的“条件”和“动作”来源。漏掉一条就可能锁死自己,尤其远程服务器——务必预留备用通道(如控制台登录)或设置超时自动回滚。
选择工具:nftables是现在标准,iptables可过渡
nftables语法更简洁、性能更好、规则组织更清晰(支持table、chain、rule分层)。虽然iptables命令还能用,但实际走的是nft后端,建议直接学原生nft命令。
检查当前状态:
nft list ruleset
如果报错或无输出,说明规则为空或nft服务未运行(sudo systemctl start nftables)。
临时清空所有规则(测试环境可用):
sudo nft flush ruleset
编写核心规则:按链(chain)逐条添加
典型场景:配置一个安全的默认策略(INPUT DROP),再按需放行。
① 创建基础表和链(若不存在):
sudo nft add table inet filter
sudo nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
→ 这一步设定了INPUT链默认拒绝,比先加一堆ACCEPT再最后DROP更安全。
② 允许本地回环、已建立连接:
sudo nft add rule inet filter input iifname "lo" accept
sudo nft add rule inet filter input ct state established,related accept
③ 放行SSH、HTTP、HTTPS(带注释更易维护):
sudo nft add rule inet filter input tcp dport {22, 80, 443} accept # allow ssh/http/https④ 限制Redis只对内网开放:
sudo nft add rule inet filter input ip saddr 192.168.1.0/24 tcp dport 6379 accept
⑤ 禁止ICMP ping(可选):
sudo nft add rule inet filter input icmp type echo-request drop
保存与持久化:重启不丢规则
上述命令只是运行时生效,重启即失效。必须保存到配置文件:
- Debian/Ubuntu:
sudo nft list ruleset > /etc/nftables.conf,并确保/etc/default/nftables中NFTABLES_ENABLED=1 - RHEL/CentOS/Fedora:
sudo nft list ruleset > /etc/sysconfig/nftables.conf,然后sudo systemctl enable nftables
验证是否生效:sudo systemctl restart nftables && sudo nft list ruleset。有输出且结构一致,说明持久化成功。
⚠️ 小技巧:编辑/etc/nftables.conf后,用sudo nft -f /etc/nftables.conf重载,比重启服务更快,也便于调试。
基本上就这些。规则不在多,在准;不在快,在稳。每次改完用curl -I http://localhost或telnet your-server 22快速验证关键端口,再用nft monitor trace抓包看匹配路径——问题自然迎刃而解。
