Linux防火墙三层架构

内核级——框架

Netfilter
基于网络层对数据包进行深度检查，允许或拒绝数据包通过

用户态——规则

iptables/nftables
基于网络层和传输层（跟踪tcp连接状态），根据连接状态来允许或拒绝数据包

iptables -L
iptables -A INPUT -p tcp --dport [端口号] -j ACCEPT

前端——工具管理

ufw/firewalld
基于应用层工作，常用于http、ftp等代理服务

ufw status
ufw allow [端口号]/tcp