防火墙
防火墙模块提供了一个统一的界面来管理服务器的防火墙。 它会自动检测并适配系统防火墙(firewalld 或 ufw),让你可以开关防火墙、管理端口规则、通过允许/拒绝列表控制 IP 访问,以及配置端口转发。
支持的防火墙
面板会自动检测已安装的防火墙。 它优先使用 firewalld,如果 firewalld 不可用则回退到 ufw。 这里描述的所有操作都会在后台转换为对应的 firewalld 或 ufw 命令。
防火墙页面
防火墙页面按选项卡进行组织:
| 选项卡 | 说明 |
|---|---|
| 端口规则 | 管理开放或限制特定端口/端口范围的规则 |
| IP 规则 | 管理基于 IP 的允许/拒绝规则(黑名单/白名单) |
| 端口转发 | 管理端口转发(端口映射)规则 |
| 扫描感知 | 网络扫描检测与统计 |
| 设置 | 开关防火墙、允许/拒绝 ping,以及扫描设置 |
设置
打开设置选项卡来控制防火墙总开关及相关选项。
- 系统防火墙:防火墙的总开关。 打开它会启动并启用防火墙服务;关闭它则会停止并禁用防火墙服务。 更改会立即生效。
- 允许 Ping:控制服务器是否响应 ICMP ping 请求。 禁用它可以让服务器对 ping 探测不可见。
WARNING
在限制流量之前,请确保面板使用的端口和你的 SSH 端口已被允许,否则你可能会把自己锁在服务器外面。
设置选项卡还包含扫描感知选项。 扫描感知的检测与统计将单独介绍,不在本页范围内。
端口规则
打开端口规则选项卡来管理针对特定端口或端口范围的规则。 该视图仅列出基于端口的规则;整段范围的 IP 规则显示在 IP 规则选项卡下。
规则列表
每条规则显示以下列:
| 列 | 说明 |
|---|---|
| 传输协议 | TCP、UDP 或 TCP/UDP。 当没有适用的协议时显示 None |
| 网络协议 | IPv4 或 IPv6(地址族)。 未设置时显示 None |
| 端口 | 单个端口(例如 80)或一个范围(例如 8000-9000) |
| 状态 | 端口当前是否正在使用:In Use 或 Not Used |
| 策略 | Accept、Drop、Reject 或 Mark |
| 方向 | Inbound 或 Outbound |
| 目标 | 规则适用的源/目标地址;为空时显示 All |
端口占用查询
当某条规则的状态显示为 In Use 时,点击状态标签即可打开一个弹出框,列出当前占用该端口的进程。 对于每个进程,面板会显示:
- 名称:进程名称
- PID:进程 ID
- 命令:进程的完整命令行
这便于你在更改或移除规则之前,轻松识别正在监听某个端口的程序。 该查询使用系统的 ss 工具结合 /proc 信息,因此仅在 Linux 服务器上可用。
创建规则
点击创建规则按钮并填写表单:
- 传输协议:
TCP、UDP或TCP/UDP(默认TCP) - 网络协议:
IPv4或IPv6(默认IPv4) - 起始端口:端口范围的起点,1–65535(默认
80) - 结束端口:端口范围的终点,1–65535(默认
80)。 对于单个端口,将起始端口和结束端口设为相同的值。 如果结束端口低于起始端口,会自动提升至与起始端口一致 - 目标:规则适用的一个或多个源地址。 留空则适用于所有地址。 接受单个 IP 或 CIDR 范围,例如
172.16.0.1或172.16.0.0/16。 你可以添加多个条目;每个条目会创建一条规则 - 策略:
Accept、Drop或Reject(默认Accept) - 方向:
Inbound或Outbound(默认Inbound)
| 策略 | 行为 |
|---|---|
| Accept | 允许该流量 |
| Drop | 静默丢弃该流量,不做任何响应 |
| Reject | 丢弃该流量并向发送方返回一个拒绝响应 |
TIP
要为公开访问开放一个端口,请创建一条采用 Accept 策略的入站规则,并将目标留空。
删除规则
- 单条删除:点击某条规则所在行的删除并确认。
- 批量删除:使用复选框选中一行或多行,点击顶部的删除按钮并确认。 所选规则会被一并移除。
IP 规则
打开 IP 规则选项卡来管理基于 IP 的允许和拒绝规则(白名单/黑名单)。 与端口规则不同,这些规则会对某个源地址在所有端口上生效。
规则列表
| 列 | 说明 |
|---|---|
| 传输协议 | TCP、UDP 或 TCP/UDP。 未设置时显示 None |
| 网络协议 | IPv4 或 IPv6。 未设置时显示 None |
| 策略 | Accept、Drop、Reject 或 Mark |
| 方向 | Inbound 或 Outbound |
| 目标 | 规则适用的 IP 地址或范围 |
创建规则
点击创建规则并填写表单:
- 传输协议:
TCP、UDP或TCP/UDP(默认TCP) - 网络协议:
IPv4或IPv6(默认IPv4) - IP 地址:一个或多个 IP 地址或范围,例如
172.16.0.1或172.16.0.0/16。 你可以添加多个条目;每个条目会创建一条规则 - 策略:
Accept、Drop或Reject(默认Accept) - 方向:
Inbound或Outbound(默认Inbound)
白名单与黑名单
- 白名单:使用
Accept策略来显式允许受信任的 IP。 - 黑名单:使用
Drop或Reject策略来阻止不需要的 IP。
删除规则
支持单行删除(行上的删除按钮)和批量删除(选中多行后点击顶部的删除)。 每个操作都需要确认。
端口转发
打开端口转发选项卡来管理端口转发(端口映射)规则。 转发规则会将到达本地端口的流量重定向到目标 IP 和端口。
规则列表
| 列 | 说明 |
|---|---|
| 传输协议 | TCP、UDP 或 TCP/UDP |
| 端口 | 接收流量的源端口 |
| 目标 IP | 流量被转发到的目标 IP |
| 目标端口 | 流量被转发到的目标端口 |
创建转发
点击创建转发按钮并填写表单:
- 传输协议:
TCP、UDP或TCP/UDP(默认TCP) - 目标 IP:目标 IP 地址(默认
127.0.0.1) - 源端口:要转发的入站端口,1–65535(默认
8080) - 目标端口:要转发到的目标端口,1–65535(默认
80)
例如,将源端口 8080 转发到 127.0.0.1:80,会把所有到达 8080 端口的流量发送到监听 80 端口的本地服务。
删除转发
支持单行删除(行上的删除按钮)和批量删除(选中多行后点击顶部的删除)。 每个操作都需要确认。
常见问题
端口已开放但服务仍然无法访问
- 确认防火墙已在设置选项卡中启用。
- 检查端口规则下是否存在针对该端口的入站 Accept 规则。
- 使用状态列的端口占用查询,确认确实有进程正在监听该端口。
- 确保没有 IP 规则正在阻止该源地址。
更改规则后被锁在外面
- 在添加限制性规则之前,请始终保持你的 SSH 端口和面板端口处于允许状态。
- 如果你失去了访问权限,请通过服务商的控制台(VNC/串口)登录,并直接调整或禁用防火墙。
规则未生效
- 确认正在使用哪个防火墙后端(
firewalld或ufw);面板会管理已安装的那一个。 - 通过设置中的系统防火墙开关确保防火墙服务正在运行。