新项目应优先使用nftables,明确业务需求后按表→链→规则结构编写,注意策略顺序、连接状态、回环接口放开及持久化保存,并通过nft list和tcpdump验证。
Linux防火墙规则编写不难,关键在理清逻辑顺序、理解匹配机制、避免常见冲突。用 iptables 或 nftables 都可以,但当前主流发行版(如 Ubuntu 22.04+、CentOS 8+、Debian 11+)默认启用 nftables,底层兼容 iptables 命令(通过 iptables-nft),建议新项目直接用 nftables 编写,更清晰、更高效。
明确防火墙目标:先想清楚“要放行什么、禁止什么”
别一上来就敲命令。先列业务需求:
- 只允许 SSH(22端口)和 HTTPS(443)入站,其他全部拒绝
- 本机需要访问外部 DNS(53/udp)、HTTP/HTTPS(80/443)
- 禁止来自某网段(如 192.168.5.0/24)的所有连接
- 记录可疑的 SYN Flood 尝试(可选审计)
目标清晰了,规则才有意义。防火墙不是堆砌指令,而是按优先级执行的“匹配-动作”链。
掌握基础结构:表(table)→ 链(chain)→ 规则(rule)
nftables 中,规则组织为三层:
-
table:按用途分组,常用有
inet filter(IPv4/v6 通用过滤)、ip filter(仅 IPv4) -
chain:挂载点,对应网络流向,如
input(进本机)、output(本机发出)、forward(转发) -
rule:具体条件 + 动作,例如
tcp dport 22 accept
新建一个最小可用规则集示例:
nft add table inet filter<br>nft add chain inet filter input { type filter hook input priority 0 \; policy drop \;}<br>nft add rule inet filter input iifname "lo" accept<br>nft add rule inet filter input ip saddr 192.168.1.0/24 accept<br>nft add rule inet filter input tcp dport {22, 443} ct state established,related, new accept登录后复制
注意:policy drop 设为默认策略后,显式 accept 的规则必须放在它前面,否则全被拦截。
标签: linux centos docker 防火墙 端口 ubuntu 工具 ai dns 一加
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~