Linux防火墙规则如何编写_高频场景实战指导更易上手【指导】

nftables是推荐的Linux新一代防火墙框架，遵循“先匹配、先执行、遇匹配即停止”逻辑；需设默认DROP策略，再按序添加accept规则，注意位置优先级，并及时保存与日志调试。

Linux防火墙规则不难，关键在理解“先匹配、先执行、遇匹配即停止”的逻辑。用iptables或nftables都行，但当前推荐nftables（替代iptables的新一代框架），语法更简洁、结构更清晰。下面直接按高频场景讲怎么写、怎么查、怎么防坑。

开放指定端口（如Web服务）

只允许外部访问本机的80和443端口，其他一律拒绝：

• 先确保默认策略是DROP（安全基线）：nft add table inet filter → nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
• 再添加放行规则：nft add rule inet filter input tcp dport { 80, 443 } accept
• 注意：必须把accept规则加在drop策略之前，否则会被默认策略拦住

仅允许特定IP访问SSH（22端口）

避免暴力破解，限制只有公司办公网（比如192.168.10.0/24）能连SSH：

• nft add rule inet filter input ip saddr 192.168.10.0/24 tcp dport 22 accept
• 如果还想保留本机自己连（lo接口），加一条：nft add rule inet filter input iifname "lo" accept
• 别忘了最后加一条记录日志+丢弃的兜底规则：nft add rule inet filter input tcp dport 22 log prefix "SSH_BLOCKED: " drop

禁止某IP段访问全部服务

发现某个网段（如203.0.113.0/24）频繁扫描，直接全封：

标签： linux 防火墙 云服务 端口 ubuntu ai 云服务器