如何配置Linux防火墙规则 iptables基础配置教程

配置linux防火墙规则需先查看当前规则，使用sudo iptables -l -n -v；可选择清除现有规则sudo iptables -f和-x；设置默认策略拒绝所有并按需放行；添加常用服务规则如允许回环访问、已建立连接、ssh及http/https端口；最后保存规则并确保开机生效。

配置Linux防火墙规则，其实并不复杂，但得清楚自己要放行什么、阻挡什么。iptables 是 Linux 系统中非常基础且强大的防火墙工具，虽然现在有 nftables 逐渐替代的趋势，但在很多老系统和一些嵌入式环境中，它仍然在广泛使用。掌握基本的 iptables 配置，能让你更灵活地控制服务器的安全策略。

1. 查看当前防火墙规则

在动手修改之前，先看看当前的规则是什么样的：

sudo iptables -L -n -v

• -L 表示列出规则；
• -n 显示 IP 和端口而不是域名和服务名；
• -v 显示详细信息，比如数据包数量等。

你可能会看到一堆链（chain）和规则（rules），比如 INPUT, FORWARD, OUTPUT 这三个默认链。大多数时候我们只需要调整 INPUT 链，也就是进入本机的数据包。

2. 清除现有规则（可选）

如果你是刚配置，或者想从头开始，可以清空已有规则：

sudo iptables -F
sudo iptables -X

• -F 是 flush，清空所有规则；
• -X 删除用户自定义的链。

⚠️ 注意：清空规则后如果没有及时设置新的允许规则，可能会把自己关在外面，尤其是远程服务器。建议操作前先添加一条允许 SSH 的规则。

3. 设置默认策略：拒绝所有，再按需放行

这是比较安全的做法：

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

• INPUT 默认拒绝，只允许特定流量进来；
• FORWARD 拒绝，除非你在做路由器或NAT；
• OUTPUT 接受，让本机主动发出的请求没问题。

接下来就是一个个添加允许的规则了。

4. 添加常用服务规则

允许本地回环访问（很重要）

sudo iptables -A INPUT -i lo -j ACCEPT

这条规则允许本机内部通信，很多服务都依赖这个接口。

允许已建立连接的流量通过

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

这样可以让已经建立的连接继续通信，比如你访问网页时返回的数据就能顺利回来。

允许SSH访问（别把自己锁在外面）

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

如果改过SSH端口，记得把 --dport 22 改成你的实际端口号。

允许HTTP/HTTPS访问

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

网站服务常用的端口，需要开放才能被访问到。

5. 保存并开机生效

不同发行版保存方式略有不同，以 CentOS/RHEL 为例：

sudo service iptables save

Ubuntu 可以用 iptables-save 命令保存到文件，并在启动时加载：

sudo iptables-save > /etc/iptables/rules.v4

或者写个脚本在开机时自动执行。

基本上就这些。
刚开始配的时候容易漏掉某些规则，比如忘记允许 established 连接，结果连不上服务器；或者没开 loopback 导致本地服务出问题。
只要一步步来，理解每个规则的作用，就能避免踩坑。

以上就是如何配置Linux防火墙规则 iptables基础配置教程的详细内容，更多请关注php中文网其它相关文章！