防火墙与安全设置
Zeabur 提供服务器层级的防火墙管理功能,让你直接在 Dashboard 设置入站规则,无需 SSH 进服务器手动操作 iptables。
防火墙概述
每台专用服务器都有独立的防火墙设置。默认情况下,Zeabur 会开放服务运作所需的必要端口(如 80、443),并封锁其余未授权的入站连接。
防火墙规则仅控制入站流量。服务的出站连接不受防火墙限制。
设置防火墙规则
- 前往 Zeabur 服务器页面,选择你的专用服务器。
- 点击左侧导航栏的「防火墙」分页。
- 点击「新增规则」按钮来创建入站规则。
每条规则需指定以下字段:
| 字段 | 说明 |
|---|---|
| 协议 | TCP 或 UDP |
| 端口范围 | 单一端口(如 8080)或范围(如 3000-3100) |
| 来源 IP | 允许的来源 IP 地址或 CIDR 区段(如 203.0.113.0/24),留空表示允许所有来源 |
设置完成后点击「保存」,规则会在数秒内生效。
IP 白名单与黑名单
- 白名单模式:只开放特定 IP 访问指定端口——创建规则时填入来源 IP 即可。
- 黑名单模式:Zeabur 防火墙采用白名单策略(默认封锁),未在规则中明确开放的端口与来源均不可访问,因此不需额外设置黑名单。
常见场景
只允许办公室 IP 访问管理后台
| 协议 | 端口 | 来源 IP |
|---|---|---|
| TCP | 8443 | 203.0.113.10 |
开放数据库端口给特定子网
| 协议 | 端口 | 来源 IP |
|---|---|---|
| TCP | 5432 | 10.0.0.0/16 |
必要端口
以下端口为 Zeabur 系统正常运作所需,请勿封锁:
| 端口 | 用途 |
|---|---|
| 22 | SSH 管理连接 |
| 80 | HTTP 流量 |
| 443 | HTTPS 流量 |
| 4222 | NATS 内部通信 |
| 6443 | K3s API Server |
| 30000–32767 | Kubernetes NodePort 范围 |
⚠️
封锁以上端口可能导致服务器无法被 Zeabur 管理,或服务无法正常对外提供服务。
安全最佳实践
- 最小权限原则 — 只开放实际需要的端口和来源 IP,避免使用
0.0.0.0/0(允许所有来源)访问敏感服务。 - 定期审核规则 — 定期检查防火墙规则,移除不再需要的开放端口。
- 使用私有网络 — 服务间的内部通信建议使用 私有网络,避免通过公网传输敏感数据。
- 保持 SSH 安全 — 建议使用 SSH 密钥认证而非密码登录,并考虑将 SSH 端口限制为特定 IP。