Debian Extract如何设置防火墙规则

Debian 防火墙规则设置指南

说明与准备

• 你提到的“Extract”应为“iptables”。在 Debian 上常用工具有：iptables（经典工具）、nftables（新一代）、ufw（iptables 的简化前端）。以下给出三种方式的核心用法与持久化方法，按需选择其一即可。操作前建议先备份现有规则，并在非生产环境验证。远程修改防火墙时务必先放行 SSH 端口（默认 22/TCP），避免被锁死。

使用 UFW 快速配置

• 安装与启用
  • 安装：sudo apt update && sudo apt install ufw
  • 设置默认策略：sudo ufw default deny incoming；sudo ufw default allow outgoing
  • 放行 SSH：sudo ufw allow 22/tcp（或 sudo ufw allow ssh）
  • 启用：sudo ufw enable
• 常用规则
  • 放行 HTTP/HTTPS：sudo ufw allow 80/tcp；sudo ufw allow 443/tcp
  • 放行特定来源 IP：sudo ufw allow from 203.0.113.10
  • 查看状态：sudo ufw status verbose
• 说明
  • UFW 规则默认会自动持久化，启用后随系统启动生效。若使用 IPv6，请在 /etc/default/ufw 中将 IPV6=yes。

使用 iptables 配置与持久化

• 基本规则
  • 查看：sudo iptables -L -n -v
  • 放行 SSH：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  • 放行 HTTP/HTTPS：sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT；sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  • 允许已建立连接：sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  • 允许回环：sudo iptables -A INPUT -i lo -j ACCEPT
  • 默认策略（谨慎）：sudo iptables -P INPUT DROP（务必先放行 SSH 与已建立连接，否则会断开会话）
• 持久化保存与恢复
  • 保存：sudo sh -c "iptables-save > /etc/iptables/rules.v4"
  • 恢复：sudo iptables-restore < /etc/iptables/rules.v4
  • 安装持久化包：sudo apt install iptables-persistent（安装时选择保存当前规则；后续可用 sudo netfilter-persistent save 保存）
• 说明
  • 使用 iptables-persistent 或手动脚本恢复可在重启后自动加载规则。

使用 nftables 配置与持久化

• 基本规则
  • 安装：sudo apt update && sudo apt install nftables
  • 查看：sudo nft list ruleset
  • 放行 SSH：sudo nft add rule inet filter input tcp dport 22 accept
  • 放行 HTTP/HTTPS：sudo nft add rule inet filter input tcp dport 80 accept；sudo nft add rule inet filter input tcp dport 443 accept
  • 允许已建立连接：sudo nft add rule inet filter input ct state established,related accept
  • 允许回环：sudo nft add rule inet filter input iif lo accept
• 持久化保存与恢复
  • 保存：sudo nft list ruleset > /etc/nftables.conf
  • 开机加载：在 /etc/network/if-pre-up.d/nftables 中写入 #!/bin/sh 与 /sbin/nft -f /etc/nftables.conf，并赋予可执行权限：sudo chmod +x /etc/network/if-pre-up.d/nftables
• 说明
  • 上述做法确保系统启动时自动加载 nftables 规则集。

安全与维护建议

• 远程操作务必先放行 SSH，再切换默认策略为 DROP；变更前先备份规则，变更后在测试环境充分验证。
• 建议开启已建立连接放行（如 ESTABLISHED,RELATED），避免现有会话中断；按需放行 ICMP（ping）以便排障。
• 规则顺序很重要，命中即停止匹配；常用做法是先放行回环、已建立连接与必要服务，再设置默认拒绝策略。