Linux防火墙规则如何编写_完整流程拆解让问题迎刃而解【技巧】

Linux防火墙规则编写关键在于理清逻辑、分步操作与验证闭环，推荐使用nftables（现代主流工具），按创建表→链→基础规则→业务规则→默认拒绝顺序实施，并需保存配置实现持久化。

Linux防火墙规则编写不难，关键在理清逻辑、分步操作、验证闭环。用 iptables（传统）或 nftables（现代推荐）均可实现，本文以 nftables 为主展开，兼顾 iptables 对照，帮你一次性打通全流程。

明确目标：先想清楚“要拦什么、放什么”

写规则前别急着敲命令，先回答三个问题：

• 哪些端口必须对外开放？比如 22（SSH）、80/443（Web）
• 哪些来源需要限制？比如只允许公司IP访问数据库端口（3306）
• 是否要防常见攻击？比如防 ping 泛洪、防连接数过载、防 SYN 洪水

例如：一台Web服务器，只需开放 80、443 和管理员固定IP的22端口，其余全部拒绝——这就是最典型的“白名单思维”，也是安全基线。

选择工具：nftables 是当前主线，iptables 已逐步被替代

Debian 12 / Ubuntu 22.04+ / CentOS 8+ 默认使用 nftables，它统一了内核接口，语法更简洁、性能更好。iptables 命令实际是通过 xtables 转译为 nftables 规则运行。

• 查当前生效规则：nft list ruleset
• 清空所有规则（谨慎！建议先备份）：nft flush ruleset
• iptables 兼容写法仍可用，但新项目建议直接学 nftables

动手写规则：从链（chain）到规则（rule），四步落地

以 nftables 为例，按真实部署顺序组织：

标签： linux centos 防火墙 端口 ubuntu 工具 ai