配置linux防火墙规则需先查看当前规则,使用sudo iptables -l -n -v;可选择清除现有规则sudo iptables -f和-x;设置默认策略拒绝所有并按需放行;添加常用服务规则如允许回环访问、已建立连接、ssh及http/https端口;最后保存规则并确保开机生效。
配置linux防火墙规则,其实并不复杂,但得清楚自己要放行什么、阻挡什么。iptables 是 Linux 系统中非常基础且强大的防火墙工具,虽然现在有 nftables 逐渐替代的趋势,但在很多老系统和一些嵌入式环境中,它仍然在广泛使用。掌握基本的 iptables 配置,能让你更灵活地控制服务器的安全策略。
1. 查看当前防火墙规则
在动手修改之前,先看看当前的规则是什么样的:
sudo iptables -L -n -v
- -L 表示列出规则;
- -n 显示 IP 和端口而不是域名和服务名;
- -v 显示详细信息,比如数据包数量等。
你可能会看到一堆链(chain)和规则(rules),比如 input, FORWARD, OUTPUT 这三个默认链。大多数时候我们只需要调整 INPUT 链,也就是进入本机的数据包。
2. 清除现有规则(可选)
如果你是刚配置,或者想从头开始,可以清空已有规则:
sudo iptables -F sudo iptables -X
- -F 是 flush,清空所有规则;
- -X 删除用户自定义的链。
⚠️ 注意:清空规则后如果没有及时设置新的允许规则,可能会把自己关在外面,尤其是远程服务器。建议操作前先添加一条允许 SSH 的规则。
3. 设置默认策略:拒绝所有,再按需放行
这是比较安全的做法:
sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT ACCEPT
- INPUT 默认拒绝,只允许特定流量进来;
- FORWARD 拒绝,除非你在做路由器或NAT;
- OUTPUT 接受,让本机主动发出的请求没问题。
接下来就是一个个添加允许的规则了。
4. 添加常用服务规则
允许本地回环访问(很重要)
sudo iptables -A INPUT -i lo -j ACCEPT
这条规则允许本机内部通信,很多服务都依赖这个接口。
允许已建立连接的流量通过
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
这样可以让已经建立的连接继续通信,比如你访问网页时返回的数据就能顺利回来。
允许SSH访问(别把自己锁在外面)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
如果改过SSH端口,记得把 –dport 22 改成你的实际端口号。
允许HTTP/HTTPS访问
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
网站服务常用的端口,需要开放才能被访问到。
5. 保存并开机生效
不同发行版保存方式略有不同,以 centos/RHEL 为例:
sudo service iptables save
ubuntu 可以用 iptables-save 命令保存到文件,并在启动时加载:
sudo iptables-save > /etc/iptables/rules.v4
或者写个脚本在开机时自动执行。
基本上就这些。
刚开始配的时候容易漏掉某些规则,比如忘记允许 established 连接,结果连不上服务器;或者没开 loopback 导致本地服务出问题。
只要一步步来,理解每个规则的作用,就能避免踩坑。
