看起来你遇到的问题大概率是漏掉了已建立连接的回包规则——当你发起HTTP/HTTPS请求到Facebook这类外部站点时，对方的回应数据包需要通过你的INPUT链回来，如果没允许这类流量，哪怕你开了80/443，也会被阻断。另外本地回环接口的流量也常被忽略，这也可能导致一些隐性问题。

下面是一步步的解决方法，你可以按顺序执行：

1. 先查看当前iptables规则，定位问题 #

先运行这条命令，查看现有规则的详细信息（包括流量统计）：

iptables -L -v -n

通过输出你能清楚看到哪些规则在生效，有没有允许ESTABLISHED状态的流量，这是排查问题的关键。

2. 重置现有规则（可选，适合从零开始配置） #

如果你之前的规则比较混乱，可以先清空所有规则并临时开放所有端口（避免远程操作时被锁在SSH外面）：

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

3. 添加正确的规则（顺序很重要！） #

iptables是按规则从上到下匹配的，所以要先放优先级高的规则：

• 允许本地回环接口的所有流量（很多本地服务依赖这个，必加）：

  iptables -A INPUT -i lo -j ACCEPT
  

• 允许已建立连接的回包和相关流量（核心规则！没有这条，外部站点的回应无法进入你的服务器）：

  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  

• 允许SSH（22端口）的输入流量：

  iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  

• 允许HTTP（80端口）的输入流量：

  iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  

• 允许HTTPS（443端口）的输入流量：

  iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  

• 最后设置INPUT链的默认策略为DROP（阻断所有未匹配到上述规则的流量）：

  iptables -P INPUT DROP
  

4. 测试规则是否生效 #

现在尝试访问Facebook或其他HTTP/HTTPS站点，应该能正常访问了，同时SSH连接也不会中断。

5. 保存规则，避免重启后失效 #

不同Linux发行版的保存命令略有不同：

• Debian/Ubuntu系：

  iptables-save > /etc/iptables/rules.v4
  

• RHEL/CentOS/Fedora系：

  service iptables save
  

额外排查点 #

如果还是无法访问，检查以下内容：

• 运行iptables -L -v -n，查看ESTABLISHED,RELATED规则的pkts和bytes数是否在增加——如果没有，可能是OUTPUT链被设为DROP了，需要确保OUTPUT链默认是ACCEPT，或者给OUTPUT链也添加ESTABLISHED,RELATED规则。
• 确认没有其他防火墙工具（比如ufw、firewalld）在运行，它们可能会覆盖iptables规则，可以临时停用测试：systemctl stop ufw或systemctl stop firewalld。

内容的提问来源于stack exchange，提问作者Anna