温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

Debian防火墙策略配置示例

小樊
33
2026-01-01 18:48:08
栏目: 智能运维

在Debian系统中,你可以使用iptablesnftables来配置防火墙策略。以下是使用这两种工具的示例。

使用 iptables 配置防火墙策略

  1. 更新系统

    sudo apt update && sudo apt upgrade -y

  2. 安装 iptables(如果尚未安装)

    sudo apt install iptables -y

  3. 设置默认策略

    sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

  4. 允许本地回环接口的流量

    sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

  5. 允许已建立的连接

    sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

  6. 允许SSH连接(假设SSH运行在默认端口22)

    sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

  7. 允许HTTP和HTTPS连接

    sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

  8. 允许特定IP地址访问(例如,允许IP地址为192.168.1.100的设备访问):

    sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT

  9. 保存 iptables 规则

    sudo sh -c "iptables-save > /etc/iptables/rules.v4"

使用 nftables 配置防火墙策略

  1. 更新系统

    sudo apt update && sudo apt upgrade -y

  2. 安装 nftables(如果尚未安装)

    sudo apt install nftables -y

  3. 启用 nftables 服务

    sudo systemctl enable nftables
sudo systemctl start nftables

  4. 设置默认策略

    sudo nft add table ip filter
sudo nft add chain ip filter input { type filter hook input priority 0 \; }
sudo nft add chain ip filter forward { type filter hook forward priority 0 \; }
sudo nft add chain ip filter output { type filter hook output priority 0 \; }

sudo nft add rule ip filter input drop
sudo nft add rule ip filter forward drop
sudo nft add rule ip filter output accept

  5. 允许本地回环接口的流量

    sudo nft add rule ip filter input iif lo accept
sudo nft add rule ip filter output oif lo accept

  6. 允许已建立的连接

    sudo nft add rule ip filter input ct state established,related accept
sudo nft add rule ip filter output ct state established,related accept

  7. 允许SSH连接(假设SSH运行在默认端口22)

    sudo nft add rule ip filter input tcp dport 22 accept

  8. 允许HTTP和HTTPS连接

    sudo nft add rule ip filter input tcp dport 80 accept
sudo nft add rule ip filter input tcp dport 443 accept

  9. 允许特定IP地址访问(例如,允许IP地址为192.168.1.100的设备访问):

    sudo nft add rule ip filter input ip saddr 192.168.1.100 accept

  10. 保存 nftables 规则

    sudo nft list ruleset > /etc/nftables.conf

请注意,这些示例假设你有一个基本的Debian系统,并且你已经熟悉命令行操作。根据你的具体需求,你可能需要调整规则。

0

最新问答

相关问答

相关标签

云服务器 mysql python3 windows linux nginx ubuntu centos openssl docker vscode nvidia virtualbox debian FreeBSD Systemd AppArmor 远程端口 504 ci框架
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529