Linux海外VPS防火墙规则设置与端口开放策略

管理Linux海外VPS的安全防线，掌握防火墙规则设置与端口开放策略，为数字资产构建稳固防护。

你的Linux海外VPS就像一座数字城堡，防火墙是24小时值守的安全卫士，决定哪些网络流量可以进出；端口则如同城堡的城门，不同服务对应不同"城门"——比如Web服务走80/443号门，远程管理用22号门。合理配置防火墙规则与开放端口，既能阻挡非法入侵，又能保证业务顺畅运行，这是每个VPS管理者的必修课。

理解防火墙与端口的核心作用

在Linux系统中，常见的防火墙工具有iptables和firewalld。iptables是传统的命令行防火墙，通过规则链管理流量，适合需要精细控制的场景；firewalld则是RHEL/CentOS 7+推出的动态防火墙，基于区域（zone）管理，操作更直观。端口本质是应用程序的网络标识符，每个TCP/UDP服务都需要绑定特定端口才能与外界通信——就像快递需要门牌号才能准确送达。

iptables规则设置实战

首次配置时，建议先清理历史规则避免冲突：

iptables -F  # 清空当前所有规则
iptables -X  # 删除自定义链

这一步如同整理城堡的防御布局，让后续设置更清晰。

接下来设置默认策略：

iptables -P INPUT DROP    # 默认拒绝所有入站流量
iptables -P FORWARD DROP  # 拒绝转发流量（非路由场景适用）
iptables -P OUTPUT ACCEPT # 允许所有出站流量（正常业务需求）

相当于关闭所有城门，只允许内部主动对外通信，最大限度减少攻击面。

本地回环接口（lo）是系统内部通信的"内部通道"，必须放行：

iptables -A INPUT -i lo -j ACCEPT  # 允许回环接口入站
iptables -A OUTPUT -o lo -j ACCEPT # 允许回环接口出站

按需开放关键服务端口

SSH远程管理（默认22端口）是VPS的"管理员通道"，需优先开放：

iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

这里通过状态检测（--state）确保只允许新建连接和已建立的连接，提升安全性。

若部署了Web服务，需开放HTTP（80）和HTTPS（443）端口：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

注意：若仅需HTTPS加密访问，可只开放443端口，进一步缩小攻击面。

规则持久化与firewalld操作

iptables规则默认仅存于内存，系统重启会丢失。Debian/Ubuntu用户可安装持久化工具：

apt-get install iptables-persistent -y
netfilter-persistent save  # 保存当前规则到/etc/iptables/rules.v4

CentOS 7+用户更常用firewalld管理，开放SSH端口只需两条命令：

firewall-cmd --permanent --add-service=ssh  # 永久添加ssh服务（含22端口）
firewall-cmd --reload  # 重载防火墙生效

firewalld支持查看当前区域规则：

firewall-cmd --list-all  # 查看public区域的所有规则

掌握这些技巧后，你可以根据业务需求灵活调整：比如限制SSH仅特定IP访问（添加-s参数），或为数据库服务开放3306端口。记住，最小权限原则是关键——只开放必要端口，才能为Linux海外VPS构建最坚固的安全屏障。