摘要:iptables 是 Linux 内核 Netfilter 框架的用户空间管理工具,通过五链(PREROUTING/INPUT/FORWARD/OUTPUT/POSTROUTING)和三表(filter/nat/mangle)实现包过滤、地址转换与流量控制。本文从 Netfilter 架构出发,详解 iptables 规则匹配、NAT 原理、连接追踪、限速防护等核心机制,并给出防 SSH 暴力破解、端口转发等实战脚本,最后对比 iptables 与 nftables 的差异,帮助读者系统掌握 Linux 防火墙底层原理。
提到 Linux 防火墙,很多人第一反应是 ufw 或 firewalld。但真正在生产环境摸爬滚打过的都知道,底层真正干活的是 iptables。理解 iptables,不仅是掌握一个命令,更是理解 Linux 网络栈的流量控制机制。
Netfilter 架构:iptables 的底层支撑
iptables 不是一个独立的防火墙,而是 Netfilter 框架的用户空间管理工具。Netfilter 在内核协议栈中植入了 5 个钩子(Hook):
PREROUTING → INPUT → [本机进程] → OUTPUT → POSTROUTING
↓ ↑
FORWARD ─────────┘这五个钩子点构成了"五链":
- PREROUTING:数据包进入网卡后、路由判断前
- INPUT:数据包目标是本机,进入前
- OUTPUT:本机发出的数据包,路由判断后
- FORWARD:数据包经过本机转发
- POSTROUTING:数据包离开网卡前
每个钩子点可以挂载多条规则,规则按顺序匹配,匹配即执行动作(ACCEPT/DROP/REJECT)。
三表分工:filter/nat/mangle
iptables 默认三张表,各司其职:
filter 表(默认表)
包过滤,控制"放行还是丢弃":
bash
# 拒绝来自 192.168.1.100 的所有连接
iptables -A INPUT -s 192.168.1.100 -j DROP
# 只允许 SSH 和 HTTP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j DROP # 默认拒绝nat 表
网络地址转换,控制"源地址或目标地址改写":
bash
# SNAT:内网出口伪装(MASQUERADE 动态获取出口 IP)
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
# DNAT:端口转发(外部访问 8080 转发到内网 192.168.1.50:80)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.50:80mangle 表
修改 IP 头字段(TTL/TOS/DSCP),用于 QoS 或特殊路由策略:
bash
# 降低 P2P 流量优先级
iptables -t mangle -A FORWARD -p tcp --dport 6881:6889 -j MARK --set-mark 0x1规则匹配:从简单到复杂
iptables 的强大在于丰富的匹配条件:
基础匹配
bash
# 协议匹配
-p tcp, -p udp, -p icmp, -p all
# 地址匹配
-s 192.168.1.0/24 # 源地址
-d 10.0.0.1 # 目标地址
# 端口匹配(需配合 -p tcp/udp)
--sport 1024:65535 # 源端口范围
--dport 80 # 目标端口
# 网卡匹配
-i eth0 # 入口网卡(INPUT/PREROUTING/FORWARD)
-o eth1 # 出口网卡(OUTPUT/POSTROUTING/FORWARD)扩展匹配:状态检测
state 模块基于连接追踪(conntrack)识别连接状态:
bash
# 只允许已建立连接和相关连接(被动模式 FTP)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 拒绝无效包(可能被篡改)
iptables -A INPUT -m state --state INVALID -j DROP四种状态:
- NEW:新连接的第一个包
- ESTABLISHED:双向通信已建立
- RELATED:与已有连接相关(如 FTP 数据连接、ICMP 错误响应)
- INVALID:无法识别状态
扩展匹配:限速防护
limit 模块实现令牌桶算法:
bash
# 限制 SSH 登录尝试:每分钟最多 3 次, burst 5
iptables -A INPUT -p tcp --dport 22 -m state --state NEW \
-m limit --limit 3/minute --limit-burst 5 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP扩展匹配:字符串过滤
string 模块匹配应用层数据:
bash
# 阻止包含特定关键词的 HTTP 请求
iptables -A FORWARD -p tcp --dport 80 -m string --string "badword" --algo bm -j DROP--algo bm 使用 Boyer-Moore 算法(比 kmp 快)。
NAT 原理:SNAT vs DNAT
SNAT(源地址转换)
场景:内网机器共享一个公网 IP 上网
bash
# 网关服务器配置
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 203.0.113.10
# 或者用 MASQUERADE(动态 IP 场景,如拨号上网)
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE工作流程:
- 内网机器
192.168.1.50发包到公网8.8.8.8 - 经过网关,PREROUTING 链记录源地址
- POSTROUTING 链将源地址改为
203.0.113.10 - 回包到达网关,查 conntrack 表,还原目标地址为
192.168.1.50
DNAT(目标地址转换)
场景:公网访问内网服务
bash
# 外网访问网关 80 端口,转发到内网 Web 服务器
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:8080工作流程:
- 外网请求到达网关
203.0.113.10:80 - PREROUTING 链将目标地址改为
192.168.1.100:8080 - 回包经过 POSTROUTING,源地址改为网关 IP
- conntrack 确保会话一致性
端口转发完整示例
需求:外网通过网关 2222 端口 SSH 到内网服务器 192.168.1.50:22
bash
# DNAT:修改目标地址
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.50:22
# FORWARD 链放行
iptables -A FORWARD -p tcp -d 192.168.1.50 --dport 22 -j ACCEPT
# 开启 IP 转发
echo 1 > /proc/sys/net/ipv4/ip_forward实战:防 SSH 暴力破解
bash
#!/bin/bash
# 防护脚本:限制 SSH 登录频率 + 封禁暴力破解 IP
# 清空现有规则
iptables -F
iptables -X
# 默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# 允许回环
iptables -A INPUT -i lo -j ACCEPT
# 允许已建立连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH 限速:每分钟最多 4 次新连接
iptables -A INPUT -p tcp --dport 22 -m state --state NEW \
-m recent --name SSH --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW \
-m recent --name SSH --rcheck --seconds 60 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 允许 HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# 允许 ICMP(ping)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPTrecent 模块记录最近访问的 IP,--rcheck --seconds 60 --hitcount 5 表示 60 秒内超过 5 次新连接即丢弃。
常见陷阱
1. 规则顺序
iptables 规则按顺序匹配,匹配即停止:
bash
# 错误:先放行所有,后面的 DROP 永不执行
iptables -A INPUT -j ACCEPT
iptables -A INPUT -s 192.168.1.100 -j DROP
# 正确:先拒绝,再放行其他
iptables -A INPUT -s 192.168.1.100 -j DROP
iptables -A INPUT -j ACCEPT2. conntrack 表溢出
高并发场景,连接追踪表满了会导致丢包:
bash
# 查看当前连接数
cat /proc/sys/net/netfilter/nf_conntrack_count
# 查看表大小上限
cat /proc/sys/net/netfilter/nf_conntrack_max
# 调大上限(临时)
echo 262144 > /proc/sys/net/netfilter/nf_conntrack_max
# 永久生效
echo "net.netfilter.nf_conntrack_max = 262144" >> /etc/sysctl.conf3. NAT 后服务器看不到真实 IP
DNAT 后,内网服务器看到的是网关 IP,不是真实客户端 IP:
bash
# 方案 1:HTTP 层面用 X-Forwarded-For(需反向代理支持)
# 方案 2:改用透明代理(TPROXY),但配置复杂4. 规则不持久化
重启后规则丢失,需要保存:
bash
# 保存规则(Ubuntu/Debian)
iptables-save > /etc/iptables/rules.v4
# 恢复规则
iptables-restore < /etc/iptables/rules.v4
# 或者安装 iptables-persistent 包
apt install iptables-persistentiptables vs nftables
Linux 内核 3.13+ 引入了 nftables,旨在替代 iptables。对比:
| 特性 | iptables | nftables |
|---|---|---|
| 规则语法 | 分散(-A/-D/-I) | 统一(add/delete) |
| 性能 | 线性匹配 | 字典/集合 O(1) |
| 灵活性 | 固定链/表 | 可自定义 |
| 向后兼容 | - | iptables-translate 转换 |
新项目建议学习 nftables,但生产环境维护的 iptables 规则短期不会消失。
总结
iptables 难在理解 Netfilter 架构和包流转流程,规则语法反而不难。核心记忆:
- 五链:PREROUTING/INPUT/FORWARD/OUTPUT/POSTROUTING
- 三表:filter(过滤)、nat(地址转换)、mangle(修改 IP 头)
- 规则顺序:匹配即停止,注意顺序
- 连接追踪:state 模块是防御利器
- 持久化:别忘了保存规则
更多 iptables 规则示例和实践案例,可以参考 Linux iptables 命令详解。
