Linux防火墙规则如何编写_高频场景实战指导更易上手【教学】

Linux防火墙配置核心是理清“谁访问谁、走什么协议、开哪几个端口”，遵循默认拒绝、按需放行原则：①SSH仅允许可信IP访问22端口；②Web服务仅开放80/443端口；③确保OUTPUT链允许必要出站流量；④规则需持久化保存防重启丢失。

Linux防火墙规则不是背命令，而是理清“谁访问谁、走什么协议、开哪几个端口”这三件事。用 iptables 或更现代的 nftables 都行，但思路一致——先默认拒绝，再按需放行。下面聚焦高频、真实、一上手就能用的场景。

只允许SSH远程管理（防暴力破解）

这是最基础也最重要的规则：只让可信IP连22端口，其他一律拦掉。

• 如果知道管理员固定IP（比如 192.168.10.5），加一条白名单：
  iptables -A INPUT -s 192.168.10.5 -p tcp --dport 22 -j ACCEPT
• 再加一条拒绝所有其他SSH请求：
  iptables -A INPUT -p tcp --dport 22 -j DROP
• 注意：这两条顺序不能反，iptables按从上到下匹配，先DROP再ACCEPT就失效了

开放Web服务（HTTP/HTTPS）

网站上线后，要让外部用户能访问80和443端口，但不等于全放开——只放端口，不放其他端口或协议。

• 放行HTTP：
  iptables -A INPUT -p tcp --dport 80 -j ACCEPT
• 放行HTTPS：
  iptables -A INPUT -p tcp --dport 443 -j ACCEPT
• 如果用了反向代理（如Nginx），通常不需要额外开后端端口（如8080），因为流量只在本机内部流转，不经过INPUT链

允许本机主动出站（别把自己锁死）

很多人设完INPUT规则后发现yum装不了、curl打不开外网——因为只管进不管出。Linux默认OUTPUT是ACCEPT，但如果你改过策略，记得补上：

• 保持本机发包畅通：
  iptables -P OUTPUT ACCEPT（推荐，简洁安全）
• 或者更细粒度控制（如只允许DNS+HTTP(S)出站）：
  iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
  iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
  iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

保存规则并开机生效（别重启就丢）

iptables规则默认不持久，重启即清空。必须显式保存：

• Debian/Ubuntu：
  iptables-save > /etc/iptables/rules.v4
• RHEL/CentOS 7+：
  service iptables save（需安装iptables-services）
  或用新方式：
  iptables-save > /etc/sysconfig/iptables
• 验证是否生效：重启前运行 iptables -L -n，重启后再跑一遍，对比是否一致

基本上就这些。不复杂但容易忽略——关键是先想清楚“我要谁来、来干啥”，再写一行命令。写完别急着保存，先用另一台机器测连通性，确认没问题再固化。