🧭 说明
iptables是Linux系统中配置防火墙规则的核心工具,它通过控制数据包的流动来保障系统安全。下面这个表格汇总了它的基本语法结构和常见命令选项。
| 组件类型 | 可选值 | 说明 |
|---|---|---|
| 表(-t) | filter, nat, mangle, raw |
定义规则功能,如包过滤或地址转换。不指定时默认为filter表。 |
| 命令 | -A(追加), -I(插入), -D(删除), -L(查看), -F(清空), -P(设置默认策略) |
对指定链进行操作的主要命令。 |
| 链 | INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING |
数据包在防火墙中的路径点,不同表包含不同的链。 |
| 匹配条件 | -p(协议), -s(源地址), -d(目标地址), --sport/--dport(端口), -i(入站网卡), -o(出站网卡) |
用于筛选数据包的条件,可以组合使用。 |
| 动作(-j) | ACCEPT(接受), DROP(丢弃), REJECT(拒绝并回应), LOG(记录日志) |
数据包匹配规则后要执行的操作。 |
🛠️ 常用操作指南
-
查看现有规则
使用
iptables -L可以查看当前规则。为了信息更完整,建议加上详细和数字格式选项。bashiptables -L -n -v # 详细列出所有规则,以数字形式显示IP和端口 iptables -L -n --line-numbers # 显示规则的行号,便于后续删除或修改 -
设置默认策略
默认策略决定了没有规则匹配时数据包的命运。为安全起见,通常先将链的默认策略设置为
DROP。bashiptables -P INPUT DROP # 默认拒绝所有进入的数据包 iptables -P FORWARD DROP # 默认拒绝所有转发的数据包 iptables -P OUTPUT ACCEPT # 默认允许所有发出的数据包。如果担心主机被控制,也可设置为DROP,但需配置允许的出站规则 -
配置基本规则
设置好默认策略后,需要添加规则来允许正常的通信。
bash# 允许本地回环通信,这是许多本地服务所必需的 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # 允许已建立的和相关的连接进入,这对响应外部请求至关重要(如浏览网页后接收数据) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 开放特定服务端口,例如允许SSH连接 iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许HTTP和HTTPS流量 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 屏蔽特定IP地址 iptables -A INPUT -s 123.45.6.7 -j DROP # 屏蔽整个IP段 iptables -A INPUT -s 123.45.0.0/16 -j DROP -
删除与清空规则
如果配置有误,需要知道如何撤销。
bashiptables -D INPUT 3 # 删除INPUT链中的第3条规则(先用`--line-numbers`查看行号) iptables -D INPUT -s 123.45.6.7 -j DROP # 根据规则内容精确删除 iptables -F # 清空指定链的所有规则,不指定链则清空所有链 iptables -F INPUT # 仅清空INPUT链的规则 iptables -X # 删除用户自定义的空链 iptables -Z # 将指定链的所有计数器归零
💡 实用进阶示例
一些更具体的使用场景,可以解决实际问题。
-
多端口设置:一次开放多个相关端口(如SSH, HTTP, HTTPS),规则更简洁。
bashiptables -A INPUT -p tcp -m multiport --dports 22,80,443 -j ACCEPT -
端口转发:将到达本机8080端口的流量转发到内网另一台机器的80端口。
bash# 在PREROUTING链做目标地址转换(DNAT) iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80 # 在POSTROUTING链做源地址转换(SNAT),使返回包能正确回来 iptables -t nat -A POSTROUTING -j MASQUERADE -
防止DoS攻击:对某一端口的连接请求进行速率限制。
bashiptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
⚠️ 重要提醒
- 规则顺序至关重要 :iptables规则按从上到下的顺序匹配,一旦匹配成功便不再继续。所以更具体的规则应放在前面。
- 谨慎操作远程连接 :在配置远程服务器的防火墙时,务必先设置允许SSH连接的规则,再设置默认策略为
DROP,或者设置一个定时任务,在若干分钟后清空所有规则(如sleep 60; iptables -F),以防将自己锁在服务器外。 - 保存规则 :通过命令行配置的规则默认是临时的,重启后失效。务必记得保存。
在CentOS/RHEL等系统上通常可以使用service iptables save。在Debian/Ubuntu等系统上,则需使用iptables-save > /etc/iptables/rules.v4来手动保存,并通过iptables-restore < /etc/iptables/rules.v4在启动时恢复。