https://md5.pw/index.php?action=history&feed=atom&title=Bandwagon%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%A6%82%E4%BD%95%E6%94%BE%E8%A1%8C%E4%B8%8E%E5%B1%8F%E8%94%BD%E7%89%B9%E5%AE%9A%E7%AB%AF%E5%8F%A3
Bandwagon服务器如何放行与屏蔽特定端口 - 版本历史
2026-05-06T13:19:39Z
本wiki上该页面的版本历史
MediaWiki 1.43.5
https://md5.pw/index.php?title=Bandwagon%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%A6%82%E4%BD%95%E6%94%BE%E8%A1%8C%E4%B8%8E%E5%B1%8F%E8%94%BD%E7%89%B9%E5%AE%9A%E7%AB%AF%E5%8F%A3&diff=1327&oldid=prev
Lan:Bandwagon服务器如何放行和屏蔽特定端口
2026-02-02T06:49:23Z
<p>Bandwagon服务器如何放行和屏蔽特定端口</p>
<p><b>新页面</b></p><div>由于搬瓦工的服务器架构设计旨在提供最大的灵活性,所以默认情况下未配置外部安全组(Security Group)。这意味着你的服务器直接暴露在公网环境中。<br />
<br />
为了保障你的数据安全,防止恶意扫描和攻击,建议在系统内部配置防火墙。本教程将教你如何使用Linux 系统中强大且高效的防火墙工具 —— Nftables,来实现端口放行与屏蔽。<blockquote>注意: 在进行任何防火墙操作前,请务必确保您当前的 SSH 连接端口(默认为 22)已被放行,否则您可能会将自己锁定在服务器之外!</blockquote><br />
----<br />
<br />
== 什么是 Nftables? ==<br />
Nftables 是 Linux 内核的新一代包过滤框架,旨在替代老旧的 <code>iptables</code>。它拥有更高的性能、更清晰的语法以及原子操作支持,是维护服务器安全的首选工具。(想要深入了解也可以查阅下面提供的维基百科资料)<blockquote>[[wikipedia:Nftables|Nftables 维基百科]]</blockquote><br />
----<br />
<br />
== 第一部分:Debian / Ubuntu 系列安装指南 ==<br />
本节适用于 Debian 10/11/12 及 Ubuntu 20.04/22.04/24.04 等系统。<br />
<br />
=== 1. 更新系统组件 ===<br />
在安装任何软件之前,记得使用下面命令保持系统源的最新状态。<br />
<br />
sudo apt update && sudo apt upgrade -y</code><br />
[[File:56487.png|center|thumb|900x900px]]<br />
<br />
=== 2. 安装 Nftables ===<br />
Debian 和 Ubuntu 的仓库中默认包含 nftables。<br />
<br />
sudo apt install nftables -y</code><br />
[[File:564987.png|center|thumb|900x900px]]<br />
<br />
=== 3. 启用并开机自启 ===<br />
安装完成后,我们需要启用服务,使其在服务器重启后依然生效。<br />
<br />
sudo systemctl enable nftables<br />
sudo systemctl start nftables</code><br />
[[File:89678.png|center|thumb|900x900px]]<br />
----<br />
<br />
== 第二部分:CentOS Stream 系列安装指南 ==<br />
本节适用于 CentOS Stream 8/9 等系统。 注意: CentOS 默认通常使用 <code>firewalld</code> 作为防火墙前端。为了使用纯粹的 <code>nftables</code>,我们需要先禁用 <code>firewalld</code> 以避免冲突。<br />
<br />
=== 1. 更新系统组件 ===<br />
<br />
sudo dnf update -y</code><br />
<br />
=== 2. 移除 Firewalld (关键步骤) ===<br />
为了防止规则冲突,我们先停止并禁用 firewalld。<br />
<br />
sudo systemctl stop firewalld<br />
sudo systemctl disable firewalld<br />
# 可选:如果你确定不再需要它,可以卸载<br />
sudo dnf remove firewalld -y</code><br />
<br />
=== 3. 安装 Nftables ===<br />
sudo dnf install nftables -y</code><br />
<br />
=== 4. 启用并开机自启 ===<br />
sudo systemctl enable nftables<br />
sudo systemctl start nftables</code><br />
----<br />
<br />
== 第三部分:Rocky Linux / AlmaLinux 系列安装指南 ==<br />
Rocky Linux 和 AlmaLinux 作为 RHEL 的下游发行版,操作逻辑与 CentOS 类似,同样需要注意清理预装的防火墙管理工具。<br />
<br />
=== 1. 更新系统组件 ===<br />
sudo dnf update -y</code><br />
<br />
=== 2. 清理预装的 Firewalld ===<br />
sudo systemctl stop firewalld<br />
sudo systemctl disable firewalld<br />
# 建议卸载以保持环境纯净<br />
sudo dnf remove firewalld -y</code><br />
<br />
=== 3. 安装 Nftables ===<br />
sudo dnf install nftables -y</code><br />
<br />
=== 4. 启用并开机自启 ===<br />
sudo systemctl enable nftables<br />
sudo systemctl start nftables</code><br />
----<br />
<br />
== 第四部分:Nftables 通用教程 ==<br />
无论使用上述哪种系统,Nftables 的配置文件路径通常统一为 <code>/etc/nftables.conf</code>。我们将通过修改这个文件来实现“默认拒绝所有,仅放行特定端口”的安全策略。<br />
<br />
=== 1. 备份默认配置 ===<br />
在修改前,先备份原始文件。<br />
sudo cp /etc/nftables.conf /etc/nftables.conf.bak</code><br />
[[File:789624.png|center|thumb|900x900px]]<br />
<br />
=== 2. 编写安全规则(核心步骤) ===<br />
使用文本编辑器(如 <code>nano</code> 或 <code>vim</code>)打开配置文件:<br />
sudo nano /etc/nftables.conf</code><br />
[[File:78945.png|center|thumb|900x900px]]<br />
清空文件内容,并复制以下推荐配置模板。这个模板会自动放行 SSH 端口,并拒绝其他非必要的入站流量。<br />
#!/usr/sbin/nft -f<br />
<br />
'''flush''' ruleset<br />
<br />
table inet filter {<br />
'''chain''' input {<br />
'''type''' filter hook input priority 0; '''policy''' drop;<br />
<br />
# 1. 允许本地回环接口 (Localhost)<br />
'''iifname''' "lo" accept<br />
<br />
# 2. 允许已建立的连接和相关流量 (比如你主动访问外网的返回数据)<br />
ct state established,related accept<br />
<br />
# 3. ICMP (Ping) 设置:允许被 Ping (可选,如果不想被 Ping 可改为 drop)<br />
ip protocol icmp accept<br />
ip6 nexthdr icmpv6 accept<br />
<br />
# 4. === 关键端口放行区 ===<br />
<br />
# [必须] 放行 SSH 端口 (默认22,如果你改了端口请修改这里)<br />
tcp dport 22 accept<br />
<br />
# [示例] 放行 Web 服务端口 (HTTP/HTTPS)<br />
# tcp dport { 80, 443 } accept<br />
<br />
# [示例] 这是一个被屏蔽的端口演示 (由于默认策略是 drop,不写就是屏蔽,但也可以显式拒绝)<br />
# tcp dport 8080 reject<br />
}<br />
<br />
chain forward {<br />
'''type''' filter hook forward priority 0; '''policy''' drop;<br />
}<br />
<br />
'''chain''' output {<br />
'''type''' filter hook output priority 0; '''policy''' accept;<br />
}<br />
}</code><br />
[[File:0af2.png|center|thumb|900x900px]]<br />
配置详解:<br />
<br />
* <code>policy drop;</code>:这是最关键的一行。它意味着除了你在下面明确允许的,其他所有流量都会被丢弃。这是最安全的“白名单”模式。<br />
* <code>tcp dport 22 accept</code>:务必保留此行,否则会断开 SSH 连接。<br />
<br />
=== 3. 应用配置 ===<br />
保存文件后(在 nano 中按 <code>Ctrl+O</code> 回车保存,<code>Ctrl+X</code> 退出),运行以下命令重载配置,使其立即生效:<br />
<br />
<br />
sudo systemctl reload nftables</code><br />
如果命令没有报错,说明防火墙已成功运行。<br />
----<br />
<br />
== 第五部分:日常管理与操作 ==<br />
<br />
=== 如何放行新的端口? ===<br />
比如你安装了一个面板,需要放行 <code>8888</code> 端口。<br />
<br />
# 编辑 <code>/etc/nftables.conf</code>。<br />
# 在 <code>chain input</code> 中添加一行:<code>tcp dport 8888 accept</code>。<br />
# 运行 <code>sudo systemctl reload nftables</code>。<br />
<br />
=== 如何屏蔽特定 IP? ===<br />
如果您发现某个 IP (例如 <code>192.168.1.100</code>) 在恶意扫描你的服务器,可以在配置文件中 SSH 规则之前添加:<br />
<br />
代码段<br />
'''ip''' saddr 192.168.1.100 drop</code><br />
<br />
=== 如何屏蔽特定端口? ===<br />
如果你使用的是上述“白名单模式”(Policy Drop),只需要删除对应的 <code>accept</code> 规则即可自动屏蔽。 如果你使用的是“黑名单模式”(Policy Accept),则需要显式添加:<br />
<br />
'''tcp''' d'''port''' 3306 drop</code><br />
----<br />
<br />
== 最后 ==<br />
通过以上步骤,你已经在没有安全组的情况下,为你的 VPS 建立了一道坚固的防线。Nftables 的强大之处在于其灵活性,你可以根据业务需求编写更加复杂的流量转发和限流规则。<br />
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]</div>
Lan