Debian防火墙如何自定义规则集 - 问答

Debian可通过iptables、nftables或ufw自定义防火墙规则集，以下是具体方法及示例：

安装：

sudo apt update && sudo apt install iptables

查看规则：

sudo iptables -L -v -n  # 查看filter表规则

添加规则：

允许特定IP访问SSH：

sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT

拒绝所有其他IP访问SSH：

sudo iptables -A INPUT -p tcp --dport 22 -j DROP

允许特定端口范围（如80-90）：

sudo iptables -A INPUT -p tcp --dport 80:90 -j ACCEPT

自定义链：

sudo iptables -N MY_CHAIN  # 创建自定义链
sudo iptables -A MY_CHAIN -s 192.168.1.0/24 -j DROP  # 在链中添加规则
sudo iptables -A INPUT -j MY_CHAIN  # 调用自定义链

模块化匹配：

限制连接频率（如每秒最多5个新SSH连接）：

sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/second -j ACCEPT

仅允许已建立的连接：

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

保存规则：

sudo sh -c "iptables-save > /etc/iptables/rules.v4"

开机自启：
创建脚本 /etc/network/if-pre-up.d/iptables：

#!/bin/sh
iptables-restore < /etc/iptables/rules.v4
sudo chmod +x /etc/network/if-pre-up.d/iptables

安装：

sudo apt update && sudo apt install nftables

添加规则：

允许SSH：

sudo nft add rule ip filter input tcp dport 22 accept

保存规则：

sudo nft list ruleset > /etc/nftables.conf

开机自启：

sudo systemctl enable nftables && sudo systemctl start nftables

安装：

sudo apt update && sudo apt install ufw

启用并设置默认策略：

sudo ufw default deny incoming  # 拒绝所有入站
sudo ufw default allow outgoing # 允许所有出站
sudo ufw enable

添加规则：

规则默认保存至 /etc/ufw/user.rules，重启后自动加载。

根据需求选择工具：ufw适合快速配置，iptables/nftables适合精细化控制。

0 赞

0 踩