2026 OpenClaw Linux 云主机最小暴露面：防火墙模板、Gateway 回环绑定与 SSH 隧道管理面访问，对比 HTTPS 公网反代的决策矩阵与分级排障 FAQ

在云厂商交付的 Linux 主机上跑 OpenClaw Gateway，最常见的失误是「先求浏览器能打开」，却把监听地址、防火墙策略与证书路径一次全开。最小暴露面的含义不是永远拒绝公网，而是每一层暴露都有记录、能回滚：先收口网络边界，再决定管理面走 SSH 隧道还是走 HTTPS 反代。下面是我们内部交付 checklist 的压缩版，可直接对照你的主机逐项打勾。

防火墙模板：默认拒绝，只放行 SSH 与必要出站

无论用 iptables 还是 nftables，建议基线都是：loopback 放行、established/related 放行、管理 SSH 端口按需放行，其余入站默认丢弃；出站按「包管理器、时间同步、证书续签、OpenClaw 所需上游」白名单逐步放开。应用规则前务必确认控制台或带外可救，或先用 at/systemd-run 做定时回滚，避免把自己锁在门外。

# flush 后定义：input 链 policy drop
# iif lo accept; ct state established,related accept
# tcp dport 22 accept   # 或仅允许运维网段 source
# 其余入站一律 drop；出站另链按需放行 dns/https/git

Gateway 回环绑定：把管理 HTTP 留在本机语义

将 Gateway 绑定到 127.0.0.1（或 Unix socket，视发行版与网关实现而定）的意义，是把「可被任意来源访问」的 HTTP 语义缩成「仅本机进程可直连」。这样即便应用层忘记鉴权，网络层也不会把面铺到整个 VPC 或公网。若必须与同机反代协作，优先让反代进程与本机网关走 loopback，而不是把网关再监听到 0.0.0.0。

SSH 隧道管理面：不打公网洞时的默认路径

运维笔记本通过 ssh -L 本地端口:127.0.0.1:网关端口 user@主机 把管理 UI 或调试端口映射到本机，是中小团队成本最低的「临时管理面」。配合密钥登录、AllowUsers、fail2ban 与跳板机，可以把公网暴露面收敛到 SSH 一条线。缺点是多人并发与审计要额外设计；优点是证书与 WAF 可以晚一点再上。

决策矩阵：SSH 隧道 vs HTTPS 公网反代

当你需要给「非技术同事」或自动化巡检长期可访问的入口时，再评估 Nginx/Caddy 终止 TLS、HSTS、限流与上游只连 127.0.0.1。完整落地步骤与回滚顺序可参考 2026 OpenClaw Gateway 生产化：`openclaw onboard` 向导要点、`openclaw doctor`/`openclaw fix` 排障、Nginx/Caddy HTTPS 反代与升级回滚（Linux 云主机可复现步骤与 FAQ）。

分级排障 FAQ（L0 / L1 / L2）

与常驻 systemd 场景衔接时，进程状态、日志与端口探针的分级处置可对照 2026 OpenClaw Linux常驻排障：systemd守护进程、openclaw logs 与网关端口探针的分级处置FAQ。本文从网络视角补三条高频问答：

L0：本机能 curl、外网不通？

先区分「网关没起来」还是「防火墙/安全组挡在外面」。在主机上 curl -v http://127.0.0.1:端口/ 成功而外部超时，九成是安全组或 nft 入站；若本机也失败，回到单元与监听地址。

L1：SSH 隧道建立但页面空白？

检查本地监听是否真的绑定到 127.0.0.1、浏览器是否走了代理插件、以及网关是否要求特定 Host 头或 HTTPS-only 重定向；重定向目标若指向公网域名，可能在隧道场景形成环路。

L2：已上 HTTPS 却偶发 502？

看反代 error log 的上游连接错误：上游若只监听 IPv6 或 Unix socket，而反代写死 IPv4，会出现间歇性失败。统一「反代 → 127.0.0.1:端口」或显式 socket 路径，并在发布窗口用蓝绿或 canary 验证。