---

Debian 服务器防火墙设置入门：守护您的数字堡垒

前言

在当今互联互通的世界里，服务器如同我们数字世界的门户。而防火墙，就像是守护这个门户的尽职卫兵。无论是托管网站、运行数据库、提供文件服务，还是作为开发环境，您的Debian服务器都时刻面临着来自互联网的潜在威胁。恶意扫描、端口探测、暴力破解、拒绝服务攻击——这些都可能导致数据泄露、服务中断甚至服务器被完全控制。

因此，为您的Debian服务器配置一个有效的防火墙是保障其安全性的基石，是每个服务器管理员（即使是初学者）都必须掌握的基本技能。

本文将带您从零开始，深入了解Debian服务器上的防火墙概念、常用工具以及如何进行基础配置，帮助您构建起第一道坚实的数字防线。我们将重点介绍两个最常用的防火墙管理工具：传统的 iptables 和更为友好的 ufw。

什么是防火墙？为什么需要它？

简单来说，防火墙是一种网络安全系统，用于监控和控制进出网络流量。它根据预设的安全规则集来决定是否允许特定数据包通过。

您可以将服务器想象成一座有许多扇门的建筑。每扇门都通往不同的房间或提供不同的服务（例如，一扇门用于SSH远程管理，一扇门用于提供网页服务，另一扇门可能用于文件传输）。如果没有防火墙，所有这些门都是敞开的，任何人都可能尝试进入或探测。

防火墙的作用就像是一个守卫，站在这些门口。您可以告诉守卫：
* 只允许携带特定“证件”（例如，来自特定IP地址）的人通过某些门。
* 只允许访问特定“房间”（例如，SSH端口22）的人通过。
* 对所有未知身份的人，默认关闭所有门。
* 记录下所有试图闯入的行为。

通过这样的管理，防火墙能够：
1. 限制对敏感服务的访问： 只允许授权用户或网络访问SSH、数据库等服务。
2. 阻止恶意流量： 拦截来自已知恶意IP地址或具有攻击特征的数据包。
3. 减少攻击面： 默认关闭不需要的服务端口，降低被攻击的风险。
4. 监控网络活动： 记录被允许或拒绝的连接尝试，帮助分析潜在威胁。

对于Debian服务器而言，通常运行着各种网络服务。如果不对这些服务的访问进行限制，它们将暴露在公网上，极易成为攻击目标。防火墙正是解决这一问题的关键工具。

准备工作

在开始配置防火墙之前，请确保您具备以下条件：

1. 一台运行Debian的服务器： 本文以Debian 10/11/12等较新版本为例。
2. Root权限或具有sudo权限的用户： 配置防火墙需要较高的系统权限。
3. 对Linux命令行有基本了解： 您需要能够通过SSH或其他方式连接到服务器并执行命令。
4. 了解您服务器正在运行哪些服务及其对应的端口号： 例如，SSH通常使用TCP端口22，HTTP使用TCP端口80，HTTPS使用TCP端口443。
5. （非常重要）远程连接的替代方案： 在配置防火墙，特别是刚开始时，存在将自己锁定在服务器外部的风险（例如，不小心阻止了SSH连接）。强烈建议在物理控制台、带外管理（如IPMI、KVM）或云服务商的Web控制台具备SSH访问能力之外的备用访问方式。如果无法做到，请务必小心再小心，并确保您允许了SSH连接后再启用防火墙。

理解防火墙的基本概念

在深入学习具体工具之前，我们先了解一些防火墙的核心概念：

• 规则 (Rules): 防火墙的核心。每条规则定义了对特定类型流量的处理方式。例如，“允许来自IP地址 X 的流量访问端口 Y”。
• 链 (Chains): 规则的集合。数据包到达防火墙时，会按顺序经过特定的链。在Linux系统中，有三个主要的内置链：
  • INPUT: 用于处理进入服务器自身的数据包（例如，有人尝试SSH连接到您的服务器）。
  • OUTPUT: 用于处理从服务器自身发出的数据包（例如，您的服务器去请求一个网页）。
  • FORWARD: 用于处理那些不以服务器自身为目的地或源地，而是通过服务器转发的数据包（通常在服务器作为路由器或网关时使用，对于大多数单机服务器场景不太常用）。
• 策略 (Policies): 如果数据包经过链中所有规则都没有匹配到，防火墙会执行该链的默认策略。常见的策略有：
  • ACCEPT: 允许数据包通过。
  • DROP: 静默丢弃数据包，不给发送方任何回应。
  • REJECT: 丢弃数据包，但给发送方发送一个错误信息（例如，“Destination Unreachable”）。通常 DROP 更隐蔽，让扫描者不知道是防火墙还是主机不存在，而 REJECT 会暴露主机的存在。
• 端口 (Ports): 用于区分同一IP地址上不同应用程序或服务。常见的有端口22 (SSH), 80 (HTTP), 443 (HTTPS), 25 (SMTP), 53 (DNS) 等。端口号与协议（TCP/UDP）通常一起使用。
• 协议 (Protocols): 常见的有 TCP (传输控制协议) 和 UDP (用户数据报协议)。防火墙规则通常会指定适用于哪种协议。
• 状态 (State): 现代防火墙（称为有状态防火墙）可以跟踪连接的状态。这允许您轻松地允许已经建立的连接的返回流量通过，而无需为每个返回的数据包单独创建规则。常见的状态有 NEW (新连接请求), ESTABLISHED (已建立的连接), RELATED (与已建立连接相关的新连接，如FTP数据连接), INVALID (无效的数据包)。

理想的防火墙配置策略通常是“默认拒绝，只允许必需”。这意味着您将链的默认策略设置为 DROP 或 REJECT，然后只添加规则来允许您需要开放的服务和协议。

方法一：使用 iptables 进行基本配置

iptables 是 Linux 内核自带的 Netfilter 框架的用户空间命令行工具。它是Linux上最基础、最灵活的防火墙工具，许多其他高层工具（如 ufw）最终也是通过配置 iptables 来工作的。虽然 iptables 的语法相对复杂，但理解它有助于您更深入地理解防火墙的工作原理。

Debian 10及更新版本默认可能使用 nftables 作为后端，但为了向下兼容和习惯，仍然提供了 iptables-nft 包，它提供了与 iptables 命令相同的接口，但在后端使用 nftables。对于初学者来说，使用 iptables 命令来学习基础概念仍然是非常有效的。

1. 安装 iptables (如果未安装) 和持久化工具

虽然 iptables 命令通常是预装的，但我们需要一个工具来在服务器重启后保存和恢复规则。

bash
sudo apt update
sudo apt install iptables iptables-persistent netfilter-persistent

iptables-persistent 包会安装 netfilter-persistent 服务，用于在系统启动时加载保存的 iptables 规则，在系统关机时保存当前规则。安装过程中，它会询问您是否保存当前的 IPv4 和 IPv6 规则，您可以选择“是”。

2. 查看当前的 iptables 规则

使用以下命令查看当前活动的规则集：

bash
sudo iptables -L -v -n

• -L: 列出所有规则。
• -v: 显示详细信息，包括匹配到的数据包数量和字节数。
• -n: 以数字格式显示IP地址和端口号，而不是尝试解析主机名和服务名，这可以加快输出速度并避免DNS问题。

刚安装好的系统，默认规则通常是允许所有流量（ACCEPT策略），这很不安全。您可能会看到类似这样的输出（具体可能因版本和预配置而异）：

“`
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
``policy ACCEPT` 表示默认允许所有流量通过，这是需要修改的。

3. 清空所有现有规则 (可选，但在初学配置时可能有用)

如果您想从一个干净的状态开始，可以清空所有链的所有规则，并将默认策略设置为ACCEPT（防止把自己锁死），然后再逐步添加规则。

bash
sudo iptables -F # 清空所有链的所有规则
sudo iptables -X # 删除所有用户自定义的链（初始状态没有）
sudo iptables -Z # 将所有链的计数器归零
sudo iptables -P INPUT ACCEPT # 将INPUT链的默认策略设为ACCEPT
sudo iptables -P FORWARD ACCEPT # 将FORWARD链的默认策略设为ACCEPT
sudo iptables -P OUTPUT ACCEPT # 将OUTPUT链的默认策略设为ACCEPT
注意： 执行这些命令后，防火墙实际上是完全放开的状态。这只是为了提供一个干净的起点进行配置。 接下来的步骤至关重要，必须尽快完成以重新建立保护。

4. 设置默认策略 (核心安全步骤)

这是将防火墙设置为“默认拒绝”的第一步。我们将 INPUT 和 FORWARD 链的默认策略设置为 DROP，这意味着除非有明确的规则允许，否则所有进入服务器或试图通过服务器转发的流量都将被丢弃。OUTPUT 链通常可以保留为 ACCEPT，以便服务器可以正常发起外部连接（例如，更新软件、发送邮件），但出于更严格的安全考虑，您也可以限制 OUTPUT。对于大多数初学者，建议保留 OUTPUT ACCEPT。

“`bash
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP

sudo iptables -P OUTPUT DROP # 如果您想限制出站流量，可以取消注释这一行

“`
执行完这两条命令后，除了已建立的连接（我们马上会添加规则允许），所有新的入站连接都会被阻止！包括您的SSH连接！所以，务必紧接着添加允许必要流量的规则。

5. 添加允许必要流量的规则

现在防火墙默认拒绝一切，我们需要添加规则来允许合法的流量。

a) 允许本地回环接口的流量： 这是必需的，许多程序需要通过本地回环接口 (lo) 进行通信。

bash
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
* -A INPUT: 在 INPUT 链的末尾添加一条规则。
* -i lo: 匹配进入接口 lo (loopback) 的流量。
* -j ACCEPT: 如果匹配，则允许通过。
* -o lo: 匹配从接口 lo 发出的流量。

b) 允许已建立和相关的连接： 这是有状态防火墙的关键。它允许对您服务器发起并建立的连接的响应流量通过，也允许一些相关的新连接（如FTP的数据连接）。没有这条规则，即使您允许了SSH连接进入，返回的SSH响应包也会被默认策略阻止，导致连接中断。

“`bash
sudo iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT

如果您将OUTPUT策略设置为DROP，也需要允许出站的已建立连接

sudo iptables -A OUTPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT

``
*-m conntrack: 加载conntrack模块，用于状态跟踪。
*–ctstate ESTABLISHED,RELATED: 匹配处于ESTABLISHED或RELATED` 状态的数据包。

c) 允许 SSH 连接 (非常重要，请小心配置！): 您需要允许自己远程连接到服务器。SSH通常运行在TCP端口22。

bash
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
* -p tcp: 匹配TCP协议的流量。
* --dport 22: 匹配目标端口是22的数据包（即进入服务器端口22的流量）。

警告：
* 如果您的SSH服务运行在非标准端口，请将 22 替换为您的实际端口号。
* 如果您想限制只有特定IP地址可以SSH，可以将规则修改为：
bash
sudo iptables -A INPUT -p tcp -s your_trusted_ip --dport 22 -j ACCEPT
将 your_trusted_ip 替换为您允许连接的IP地址。

d) 允许其他必要的服务： 根据您的服务器用途，您还需要开放其他端口。

• HTTP (Web服务器): 允许TCP端口80。
  bash
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
• HTTPS (加密Web服务器): 允许TCP端口443。
  bash
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
• DNS (如果服务器需要作为DNS服务器): 允许UDP端口53。
  bash
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
• 邮件服务 (SMTP, SMTPS, POP3, IMAP等): 根据需要开放相应端口 (25, 465, 587, 110, 995, 143, 993)。例如：
  bash
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 465 -j ACCEPT
# ... 其他邮件端口
• 数据库服务 (MySQL/MariaDB, PostgreSQL等): 默认端口通常是3306 (MySQL) 或 5432 (PostgreSQL)。强烈建议仅允许来自应用服务器或其他可信网络的连接，而不是来自整个互联网。
  bash
# 允许来自局域网 192.168.1.0/24 的主机访问 MySQL
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT

6. 查看并验证您的规则

在添加完规则后，再次使用 -L -v -n 命令查看规则列表，确保所有必要的服务端口都已添加，并且默认策略是 DROP。

bash
sudo iptables -L -v -n
您应该看到类似这样的规则列表（顺序很重要，规则是按顺序匹配的）：

Chain INPUT (policy DROP 0 packets, 0 bytes) # 默认策略是DROP，很好！
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 # 允许本地回环
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED,RELATED # 允许已建立/相关连接
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 # 允许SSH
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 # 允许HTTP
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 # 允许HTTPS
# ... 其他你添加的规则
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 # 如果没有特定规则允许，数据库端口会被默认策略阻止（这是默认DROP的体现）
# 所有未匹配上述规则的流量都会被默认的 DROP 策略处理
请特别注意规则的顺序，数据包会从上到下依次匹配。一般来说，允许快速匹配的规则（如本地回环、已建立连接）放在前面可以提高效率。

7. 保存 iptables 规则

iptables 规则默认是临时的，服务器重启后会丢失。为了让规则永久生效，您需要保存它们。iptables-persistent 工具就是为此目的。

bash
sudo netfilter-persistent save
这个命令会将当前的IPv4和IPv6规则分别保存到 /etc/iptables/rules.v4 和 /etc/iptables/rules.v6 文件中。netfilter-persistent 服务会在系统启动时自动加载这些文件中的规则。

您也可以手动检查这两个文件，它们是纯文本格式，记录了您配置的规则。

8. 测试防火墙

这是最关键的步骤。在您 关闭当前的SSH会话之前，打开一个新的终端窗口，尝试SSH连接到您的服务器。如果连接成功，说明您允许SSH的规则是有效的。

同时，从其他机器上尝试访问您开放的服务端口（例如，通过浏览器访问您的网站），并尝试访问未开放的端口（例如，尝试telnet连接一个随机的高位端口），验证它们是否被阻止。

如果SSH连接中断或无法建立新的SSH连接，说明您可能将自己锁定了。这时就需要依赖您的备用访问方式（物理控制台、云服务商控制台等）来登录服务器并调整规则。最快捷的修复方式可能是清空规则并重新配置，或者直接使用 sudo iptables -P INPUT ACCEPT 临时恢复默认策略以便重新连接，但务必在修复后重新设置 DROP 策略并保存。

方法二：使用 UFW (Uncomplicated Firewall) 进行配置

ufw 是一个用户友好的防火墙配置工具，旨在简化 iptables 的复杂性。它提供了一个更直观的命令行界面，非常适合初学者。ufw 在底层仍然使用 iptables (或 nftables)。Debian 默认通常没有安装 ufw。

1. 安装 UFW

bash
sudo apt update
sudo apt install ufw

2. 查看 UFW 状态

默认情况下，ufw 是非活动状态 (inactive)。

bash
sudo ufw status
输出应该是：
Status: inactive

3. 设置默认策略

ufw 的默认策略设置非常简单。与 iptables 类似，推荐的策略是默认拒绝所有入站流量。

bash
sudo ufw default deny incoming
sudo ufw default allow outgoing
* sudo ufw default deny incoming: 将入站流量的默认策略设置为拒绝。
* sudo ufw default allow outgoing: 将出站流量的默认策略设置为允许（这通常是安全的默认设置，允许服务器发起连接以获取更新、发送邮件等）。

4. 添加允许必要流量的规则

ufw 允许您按服务名称（如果服务在 /etc/services 文件中有定义）或端口号/协议来添加规则，非常方便。

a) 允许 SSH 连接 (非常重要！):

“`bash
sudo ufw allow ssh

或者使用端口号

sudo ufw allow 22/tcp

``
ufw 会自动查找/etc/services文件中ssh` 对应的端口号（通常是22），并添加相应的规则。

b) 允许其他必要的服务：

• HTTP:
  bash
sudo ufw allow http
# 或者使用端口号
# sudo ufw allow 80/tcp
• HTTPS:
  bash
sudo ufw allow https
# 或者使用端口号
# sudo ufw allow 443/tcp
• 自定义端口或协议： 例如，允许TCP端口8080。
  bash
sudo ufw allow 8080/tcp
  允许UDP端口123 (NTP服务)。
  bash
sudo ufw allow 123/udp
• 允许来自特定IP地址/子网的连接： 例如，只允许来自 192.168.1.100 的主机访问SSH。
  bash
sudo ufw allow from 192.168.1.100 to any port 22
  允许来自整个子网 192.168.1.0/24 访问MySQL (端口3306)。
  bash
sudo ufw allow from 192.168.1.0/24 to any port 3306

ufw 默认会自动处理本地回环接口和已建立/相关连接的规则，您通常不需要手动添加它们，这是 ufw 简化操作的一部分。

5. 启用 UFW

在您添加了允许SSH的规则并 确认无误后，启用防火墙：

bash
sudo ufw enable
执行此命令时，ufw 会给出一个警告，提醒您启用防火墙可能会中断现有的SSH连接，并询问您是否继续。输入 y 并回车。

警告： 在执行 ufw enable 之前，务必确认您已经添加了允许当前SSH连接的规则。如果您不确定，请不要启用它。如果您的SSH连接端口不是默认的22，请确保您允许的是正确的端口。

启用后，ufw 会自动在系统启动时启动，并加载规则。

6. 查看 UFW 状态 (详细信息)

启用后，再次使用 ufw status 查看状态。使用 verbose 选项可以查看更详细的规则列表。

bash
sudo ufw status verbose
输出会显示防火墙状态、默认策略以及您添加的所有规则：

“`
Status: active
Logging: on (low)
Default: deny incoming (root)
Default: allow outgoing (root)
New profiles: skip

To Action From
— —— —-
22/tcp ALLOW Anywhere # 允许SSH
80/tcp ALLOW Anywhere # 允许HTTP
443/tcp ALLOW Anywhere # 允许HTTPS
3306/tcp ALLOW 192.168.1.0/24 # 允许来自特定子网的MySQL访问
22/tcp (v6) ALLOW Anywhere (v6) # 允许IPv6的SSH
80/tcp (v6) ALLOW Anywhere (v6) # 允许IPv6的HTTP
443/tcp (v6) ALLOW Anywhere (v6) # 允许IPv6的HTTPS
3306/tcp (v6) ALLOW 192.168.1.0/24 # 允许IPv6来自特定子网的MySQL访问
“`
注意 ufw 会自动为 IPv6 也添加相应的规则。

7. 删除 UFW 规则

如果您需要删除某个规则，可以使用带有 numbered 选项的状态命令列出规则序号，然后使用 delete 命令。

bash
sudo ufw status numbered
“`
Status: active

 To                         Action      From
 --                         ------      ----

[ 1] 22/tcp ALLOW Anywhere
[ 2] 80/tcp ALLOW Anywhere
[ 3] 443/tcp ALLOW Anywhere
[ 4] 3306/tcp ALLOW 192.168.1.0/24
[ 5] 22/tcp (v6) ALLOW Anywhere (v6)
[ 6] 80/tcp (v6) ALLOW Anywhere (v6)
[ 7] 443/tcp (v6) ALLOW Anywhere (v6)
[ 8] 3306/tcp (v6) ALLOW 192.168.1.0/24
假设您想删除允许HTTP的规则（序号2和6）：bash
sudo ufw delete 2
sudo ufw delete 6
“`

8. 禁用 UFW (仅在需要完全关闭防火墙时使用)

bash
sudo ufw disable
这会停止 ufw 服务，并清除所有规则。再次启用时，它会加载之前保存的规则。

9. 重置 UFW (危险操作，谨慎使用！)

如果您不小心配置错误导致无法访问服务器，或者想完全重新开始配置 ufw，可以使用 reset 命令。这将删除所有规则并禁用 ufw。

bash
sudo ufw reset
请注意： 如果您是通过SSH连接到服务器并执行此命令，并且没有其他访问方式，执行 ufw reset 后防火墙会完全放开，您将保持连接状态。但如果您当时已经被防火墙锁定，reset 命令将无法通过SSH执行。

10. 测试 UFW

与 iptables 类似，在确认 SSH 规则已添加并启用 ufw 后，从新的终端窗口尝试 SSH 连接。测试其他开放和未开放的端口，验证防火墙是否按预期工作。

选择 iptables 还是 ufw？

对于初学者和大多数常见的服务器场景：
* 推荐使用 UFW： 它的语法简单直观，易于学习和使用，能够满足大多数基本防火墙需求（开放特定端口、限制IP访问等），且自带持久化功能。对于非防火墙专家来说，ufw 是一个非常好的起点。
* iptables (或 nftables 后端) 更适合： 需要非常精细控制、使用更复杂的匹配条件（如连接限制、报文内容检查等）、自定义链或进行高级网络过滤的场景。学习 iptables 有助于深入理解 Linux 网络过滤原理，但其学习曲线更陡峭。

您可以从 ufw 开始，掌握基本概念。如果将来遇到 ufw 无法实现的复杂需求，再深入学习 iptables。

防火墙配置的最佳实践

1. 遵循“默认拒绝，只允许必需”原则： 这是最安全的策略。关闭所有不需要的服务端口。
2. 只开放必要的端口： 避免开放不必要的服务端口，这会显著减少服务器的攻击面。
3. 限制访问IP： 对于SSH、数据库等敏感服务，如果可能，只允许来自特定IP地址或可信网络的连接。避免将它们暴露在整个互联网上。
4. 允许已建立的连接： 确保允许已建立连接的返回流量，这是服务器正常工作所必需的。ufw 和正确配置的 iptables 都会处理这一点。
5. 允许本地回环流量： 这是系统内部通信所必需的。ufw 和 iptables 都会处理。
6. 小心配置，特别是 SSH： 在启用或修改防火墙规则时，始终将允许 SSH 连接的规则放在前面，并确保规则正确无误。在生产环境修改防火墙时，最好有备用的访问方式。
7. 先测试，后保存： 在 iptables 中，先添加规则测试是否工作正常，再保存到持久化文件。在 ufw 中，先添加规则，确保规则列表正确，再执行 ufw enable。
8. 定期审查规则： 随着服务器上运行的服务变化，定期审查防火墙规则，移除不再需要的开放端口，添加新服务的规则。
9. 启用防火墙日志： 可以配置防火墙记录被阻止或允许的连接尝试，这有助于监控潜在的攻击或排查问题。ufw 的日志功能可以通过 sudo ufw logging on 启用。
10. 结合其他安全措施： 防火墙是重要的第一道防线，但它不是唯一的安全措施。仍然需要保持系统和软件更新、使用强密码或密钥对进行SSH认证、配置入侵检测系统等。

常见问题与故障排除

• 我被锁在服务器外面了！
  • 这是最常见的问题。如果可能，使用物理控制台、带外管理或云服务商的Web控制台登录。
  • 如果使用 iptables 且能登录，尝试清空规则 sudo iptables -F 或将 INPUT 链策略设为 ACCEPT (sudo iptables -P INPUT ACCEPT)，然后重新配置并保存。
  • 如果使用 ufw 且能登录，尝试重置 sudo ufw reset 或禁用 sudo ufw disable，然后重新配置并启用。
  • 如果无法登录，对于云服务器，有些服务商提供重置防火墙或通过救援模式访问文件系统的方法。
• 我开放了端口，但服务仍然无法访问。
  • 检查防火墙状态和规则列表，确认您是否确实允许了正确的端口、协议和来源IP。
  • 确认服务本身正在运行并且监听在您开放的端口上（使用 ss -tulnp 或 netstat -tulnp 命令检查）。
  • 检查是否有其他防火墙（例如，云服务商的安全组）阻止了流量。
  • 检查SELinux或AppArmor等其他安全模块是否阻止了服务。
• iptables -L -v -n 输出很多我没添加的规则。
  • 这可能是因为系统或某些服务（如Docker、virt-manager）自动添加了 iptables 规则。了解这些规则的作用，避免与您的自定义规则冲突。通常，您的自定义规则可以放在自动生成的规则之前或之后，具体取决于优先级需求。ufw 通常能更好地与这些服务集成。

总结

为您的Debian服务器配置防火墙是保障其安全性的基础步骤。无论是选择学习基础且强大的 iptables，还是使用更易于上手的 ufw，关键在于理解防火墙的工作原理，并遵循“默认拒绝，只允许必需”的安全原则。

从允许SSH连接开始，逐步开放您需要的服务端口，并尽可能限制访问来源。配置完成后，务必进行测试，确保规则按预期工作，且您不会被锁定在服务器之外。

防火墙配置不是一次性的任务，随着您的服务器用途和网络环境的变化，您可能需要调整规则。保持学习和实践，不断提升您的服务器安全防护能力。现在，就行动起来，为您的Debian服务器构建一道坚固的数字防线吧！

---