Linux 防火墙工具 iptables 入门与常用命令整理

iptables 是 Linux 系统下强大的防火墙工具,广泛用于流量过滤、安全防护和端口管理等任务。本文介绍其基本原理、常用命令及实际应用示例,适合系统运维和安全管理人员查阅使用。


📚 一、基本概念

🔹 表(Table)

iptables 共有几张表:

表名 功能
filter 默认表,负责数据包过滤(允许、拒绝)
nat 网络地址转换(NAT、端口映射)
mangle 修改数据包的服务类型、TTL等信息
raw 跳过连接追踪
security 与 SELinux 配合使用,增强安全策略控制

🔹 链(Chain)

每张表包含不同的"链"(Chain),数据包会经过对应的链执行规则:

链名 描述
INPUT 进入本机的数据包
OUTPUT 本机发出的数据包
FORWARD 路由转发的数据包
PREROUTING 数据包到达网络堆栈前的处理点
POSTROUTING 数据包即将离开主机的处理点

🧰 二、iptables 常用命令

1. 查看规则

bash 复制代码
iptables -L                     # 查看默认表的规则
iptables -L -n                 # 不解析域名和端口
iptables -L -v                 # 显示详细信息(数据包/字节统计)
iptables -t nat -L             # 查看 nat 表规则
iptables -S                    # 查看规则原始命令格式

2. 添加规则

bash 复制代码
iptables -A INPUT -p tcp --dport 22 -j ACCEPT        # 允许 ssh 端口
iptables -A INPUT -s 192.168.1.100 -j DROP           # 屏蔽某个 IP
iptables -A INPUT -i lo -j ACCEPT                    # 允许本地回环
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

3. 删除规则

bash 复制代码
iptables -D INPUT 3                                  # 删除第3条规则
iptables -D INPUT -p tcp --dport 22 -j ACCEPT        # 删除指定规则

4. 插入/替换规则

bash 复制代码
iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT      # 插入到第一条
iptables -R INPUT 2 -p tcp --dport 443 -j ACCEPT     # 替换第二条规则

5. 设置默认策略

bash 复制代码
iptables -P INPUT DROP        # 设置 INPUT 链默认策略为 DROP(拒绝)
iptables -P FORWARD DROP      # 设置 FORWARD 链默认策略为 DROP(拒绝转发)
iptables -P OUTPUT ACCEPT     # 设置 OUTPUT 链默认策略为 ACCEPT(允许发出)

🔐 三、实用防火墙配置示例

1. 允许特定端口通过,其余封锁

BASH 复制代码
iptables -F                                               # 清空所有现有规则
iptables -P INPUT DROP                                    # 拒绝所有进入数据包
iptables -P FORWARD DROP                                  # 拒绝所有转发数据包
iptables -P OUTPUT ACCEPT                                 # 允许所有发出数据包

iptables -A INPUT -i lo -j ACCEPT                         # 允许本地回环接口
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT  # 允许已建立和相关连接
iptables -A INPUT -p tcp --dport 22 -j ACCEPT             # 允许 SSH(22 端口)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT             # 允许 HTTP(80 端口)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT            # 允许 HTTPS(443 端口)

2. NAT 端口转发(公网 80 转发到内网 8080)

BASH 复制代码
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:8080  # 目的地址 NAT,80 转发到内网主机
iptables -t nat -A POSTROUTING -j MASQUERADE                                               # 启用地址伪装(源地址转换)

3. 屏蔽特定 IP

BASH 复制代码
iptables -A INPUT -s 1.2.3.4 -j DROP  # 拒绝来自 1.2.3.4 的连接

4. 限制连接频率(防止 DDoS)

BASH 复制代码
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT  # 限制访问频率,防止大流量攻击
相关推荐
phiilo1 分钟前
golang 设置进程退出时kill所有子进程
后端
花花无缺2 分钟前
python自动化-pytest-用例发现规则和要求
后端·python
程序员小假4 分钟前
我们来说一说 Cglib 与 JDK 动态代理
后端
摆烂工程师2 小时前
教你如何认证 Gemini 教育优惠的二次验证,薅个 1年的 Gemini Pro 会员
后端·程序员·gemini
绝无仅有2 小时前
未来教育行业的 Go 服务开发解决方案与实践
后端·面试·github
程序员爱钓鱼3 小时前
Go语言实战案例- 命令行参数解析器
后端·google·go
心在飞扬3 小时前
Redis 介绍与 Node.js 使用教程
后端
milanyangbo3 小时前
“卧槽,系统又崩了!”——别慌,这也许是你看过最通俗易懂的分布式入门
分布式·后端·云原生·架构
AAA修煤气灶刘哥4 小时前
MySQL 查文本查哭了?来唠唠 ES 这货:从 “啥是 ES” 到 Java 撸代码,一篇整明白!
java·后端·elasticsearch
金銀銅鐵4 小时前
[Java] 浅析密封类(Sealed Classes) 在 class 文件中是如何实现的
java·后端