新项目应优先使用nftables,明确业务需求后按表→链→规则结构编写,注意策略顺序、连接状态、回环接口放开及持久化保存,并通过nft list和tcpdump验证。
Linux防火墙规则编写不难,关键在理清逻辑顺序、理解匹配机制、避免常见冲突。用 iptables 或 nftables 都可以,但当前主流发行版(如 Ubuntu 22.04+、CentOS 8+、Debian 11+)默认启用 nftables,底层兼容 iptables 命令(通过 iptables-nft),建议新项目直接用 nftables 编写,更清晰、更高效。
别一上来就敲命令。先列业务需求:
目标清晰了,规则才有意义。防火墙不是堆砌指令,而是按优先级执行的“匹配-动作”链。
nftables 中,规则组织为三层:
inet filter(IPv4/v6 通用过滤)、ip filter(仅 IPv4)input(进本机)、output(本机发出)、forward(转发)tcp dport 22 accept
新建一个最小可用规则集示例:
nft add table inet filter<br>nft add chain inet filter input { type filter hook input priority 0 \; policy drop \;}<br>nft add rule inet filter input iifname "lo" accept<br>nft add rule inet filter input ip saddr 192.168.1.0/24 accept<br>nft add rule inet filter input tcp dport {22, 443} ct state established,related, new accept注意:policy drop 设为默认策略后,显式 accept 的规则必须放在它前面,否则全被拦截。
很多问题不是语法错,而是逻辑陷阱:
tcp dport 22 accept 不够,客户端发来的第一个 SYN 包会匹配,但返回包若没允许 ct state established,连接仍不通。推荐统一加 ct state established,related, new 并配合连接跟踪nft list ruleset > /etc/nftables.conf,再启用 systemd 服务 sudo systemctl enable nftables;CentOS/RHEL 用 nft list ruleset | sudo tee /etc/sysconfig/nftables.conf 并确保服务启动写完别急着上线,三步验证:
nft list ruleset -a(加 -a 显示句柄,方便后续删除)nft list chain inet filter input -n 查每条规则匹配包数,确认 SSH 规则有 hit,拒绝规则也在计数tcpdump -i eth0 port 22 在另一终端观察握手过程,结合 ss -tuln 确认端口监听正常;从外网用 nc -zv your-ip 22 测试连通性如果连不上,先临时 nft flush chain inet filter input 清空测试,再逐条加回,快速定位哪条规则拦住了。
基本上就这些。规则不在多,在准;配置不在快,在稳。把表链结构记牢、按流量方向思考、每次改完验证一次,防火墙就能从“玄学模块”变成你手里的确定性工具。
以上就是Linux防火墙规则如何编写_完整流程拆解让问题迎刃而解【指导】的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
865
收藏
