Linux防火墙规则如何编写_完整流程拆解让问题迎刃而解【教程】

Linux防火墙推荐使用nftables，先明确“拦什么、放什么”再分步配置：创建filter表和input链并设默认DROP策略，放行lo、established/related连接、SSH/HTTP/HTTPS端口，限制Redis仅内网访问，可选禁ping；规则需保存至/etc/nftables.conf并启用服务以持久化。

Linux防火墙规则编写不难，关键在理清逻辑、分步验证。用iptables或nftables都可以，但当前主流发行版（如Ubuntu 22.04+、CentOS 8+）默认启用nftables，底层兼容iptables命令（通过iptables-nft封装），所以本教程以nftables为基准，兼顾iptables等效写法，全程可实操、可回退、不踩坑。

明确目标：先想清楚“要拦什么、放什么”

写规则前别急着敲命令，先列清楚业务需求。比如：

• 只允许SSH（22端口）、HTTP（80）、HTTPS（443）入站，其余全部拒绝
• 允许本机主动访问外网（出站不限），但禁止外部ping本机
• 某服务（如Redis 6379）仅限内网192.168.1.0/24访问

这些就是规则的“条件”和“动作”来源。漏掉一条就可能锁死自己，尤其远程服务器——务必预留备用通道（如控制台登录）或设置超时自动回滚。

选择工具：nftables是现在标准，iptables可过渡

nftables语法更简洁、性能更好、规则组织更清晰（支持table、chain、rule分层）。虽然iptables命令还能用，但实际走的是nft后端，建议直接学原生nft命令。

检查当前状态：

nft list ruleset

如果报错或无输出，说明规则为空或nft服务未运行（sudo systemctl start nftables）。

临时清空所有规则（测试环境可用）：

sudo nft flush ruleset

编写核心规则：按链（chain）逐条添加

典型场景：配置一个安全的默认策略（INPUT DROP），再按需放行。

① 创建基础表和链（若不存在）：

sudo nft add table inet filter<br>sudo nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }

→ 这一步设定了INPUT链默认拒绝，比先加一堆ACCEPT再最后DROP更安全。

标签： linux redis centos 防火墙 端口 ubuntu 工具 后端 curl ai 配置文件 red