Linux防火墙规则如何编写_深度讲解提升系统稳定性【教程】

Linux防火墙核心在于理解流量流向与最小权限原则，iptables按表→链→规则三级组织，filter表处理本机进出流量，规则顺序决定匹配结果，firewalld是其封装层，需注意Docker兼容性及持久化配置。

Linux防火墙规则的核心是明确“允许什么、拒绝什么”，关键不在堆砌命令，而在理解流量流向、服务依赖和最小权限原则。用错一条规则可能让SSH断连、服务不可达，甚至掩盖真实攻击行为。

iptables规则编写：先理清链与表的分工

iptables不是“一条命令配完事”的工具。它按表（table）→链（chain）→规则（rule）三级组织：

• filter表：处理进出本机的包，默认链有INPUT（进）、OUTPUT（出）、FORWARD（转发）；日常防护90%工作在这里
• nat表：仅在做端口映射、SNAT/DNAT时用，比如公网IP映射内网Web服务，普通服务器不建议随意动
• 规则顺序决定成败：iptables自上而下匹配，一旦命中即执行动作（ACCEPT/DROP/REJECT），后续规则不再检查。所以“允许SSH”必须写在“默认DROP”之前

实用规则模板：从安全基线开始写

不要一上来就封IP或限速。先建立稳定可用的基础策略：

• 保留本地回环通信：iptables -A INPUT -i lo -j ACCEPT
• 放行已建立连接（保障响应包能回来）：iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
• 只开必要端口，如SSH（建议改非22端口）：iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
• 最后拒绝所有其他入站：iptables -P INPUT DROP（注意：-P是设置默认策略，不是加规则！别和-A混用）

⚠️ 操作前务必加一条“临时放行”规则并设超时，防锁死：iptables -I INPUT 1 -p tcp --dport 2222 -j ACCEPT && sleep 300 && iptables -D INPUT 1

firewalld更适配现代发行版？别盲目切换

CentOS 7+/RHEL 8+ 默认用firewalld，它本质是iptables的封装层，不是替代品。优势在于动态重载、区域（zone）概念清晰、支持服务名（如http、ssh）而非硬记端口：

标签： linux centos docker 防火墙 端口 工具 curl ai kubernetes