Linux防火墙规则如何编写_深度讲解提升系统稳定性【教程】

Linux防火墙核心在于理解流量流向与最小权限原则，iptables按表→链→规则三级组织，filter表处理本机进出流量，规则顺序决定匹配结果，firewalld是其封装层，需注意Docker兼容性及持久化配置。

Linux防火墙规则的核心是明确“允许什么、拒绝什么”，关键不在堆砌命令，而在理解流量流向、服务依赖和最小权限原则。用错一条规则可能让SSH断连、服务不可达，甚至掩盖真实攻击行为。

iptables规则编写：先理清链与表的分工

iptables不是“一条命令配完事”的工具。它按表（table）→链（chain）→规则（rule）三级组织：

• filter表：处理进出本机的包，默认链有INPUT（进）、OUTPUT（出）、FORWARD（转发）；日常防护90%工作在这里
• nat表：仅在做端口映射、SNAT/DNAT时用，比如公网IP映射内网Web服务，普通服务器不建议随意动
• 规则顺序决定成败：iptables自上而下匹配，一旦命中即执行动作（ACCEPT/DROP/REJECT），后续规则不再检查。所以“允许SSH”必须写在“默认DROP”之前

实用规则模板：从安全基线开始写

不要一上来就封IP或限速。先建立稳定可用的基础策略：

• 保留本地回环通信：iptables -A INPUT -i lo -j ACCEPT
• 放行已建立连接（保障响应包能回来）：iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
• 只开必要端口，如SSH（建议改非22端口）：iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
• 最后拒绝所有其他入站：iptables -P INPUT DROP（注意：-P是设置默认策略，不是加规则！别和-A混用）

⚠️ 操作前务必加一条“临时放行”规则并设超时，防锁死：iptables -I INPUT 1 -p tcp --dport 2222 -j ACCEPT && sleep 300 && iptables -D INPUT 1

firewalld更适配现代发行版？别盲目切换

CentOS 7+/RHEL 8+ 默认用firewalld，它本质是iptables的封装层，不是替代品。优势在于动态重载、区域（zone）概念清晰、支持服务名（如http、ssh）而非硬记端口：

Blogcast™

BlogcastTM是一个文本转语音的工具，允许用户创建播客、视频、电子学习课程的音频和音频书籍，而无需录制。

63

查看详情

• 查当前活跃区域：firewall-cmd --get-active-zones
• 永久开放HTTPS：firewall-cmd --permanent --add-service=https
• 重载生效：firewall-cmd --reload（不中断现有连接）
• 慎用--remove-all-services——可能一键关掉数据库、监控等依赖端口

若用Docker/Kubernetes，注意firewalld默认与docker0桥接冲突，需配置firewall-cmd --permanent --zone=docker --add-interface=docker0或关闭firewalld改用iptables直接管理。

验证与排错：别信“写了就生效”

规则写完必须验证，常见陷阱：

• 用iptables -L -n -v看计数器：若某规则packets为0，说明流量根本没走到那里（可能是前面规则截获，或源IP/协议不匹配）
• 模拟测试：从另一台机器用telnet 服务器IP 端口或curl -v http://IP:端口，比看日志更快定位拦截点
• 记录被拒连接（用于分析攻击）：iptables -A INPUT -j LOG --log-prefix "IPTABLES-DROP: "，再配合dmesg或/var/log/messages查看
• 规则持久化别忘：iptables需iptables-save > /etc/sysconfig/iptables（CentOS）或netfilter-persistent save（Debian），firewalld默认自动保存

基本上就这些。规则不在多，在准；防护不在严，在稳。每次变更只动一处、验证一项，系统稳定性自然提升。

以上就是Linux防火墙规则如何编写_深度讲解提升系统稳定性【教程】的详细内容，更多请关注php中文网其它相关文章！