iptables是Linux防火墙工具,用于配置netfilter实现包过滤和NAT;通过iptables -L -n -v查看规则,-A添加规则允许回环、已建立连接及开放SSH/HTTP/HTTPS端口,设置默认DROP策略,可拒绝特定IP或端口访问,需用service iptables save或iptables-save保存规则以防重启丢失。
Linux系统中,iptables 是一个强大的防火墙工具,用于配置内核中的netfilter模块,实现数据包过滤、网络地址转换(NAT)等功能。通过合理设置iptables规则,可以有效保护服务器安全。以下是配置iptables防火墙规则的基本方法和常用操作。
查看当前防火墙规则
在修改规则前,先查看当前生效的规则:
iptables -L -n -v
参数说明:
- -L:列出规则
- -n:以数字形式显示IP和端口
- -v:显示详细信息
若需查看特定链(如INPUT、OUTPUT、FORWARD)的规则,可加上链名:
iptables -L INPUT -n -v
添加基本访问规则
常用操作是允许或拒绝特定端口的访问。以下是一些典型示例:
允许本地回环接口通信(必要):
iptables -A INPUT -i lo -j ACCEPT
允许已建立的连接通过(保证已有会话不被阻断):
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
开放常用服务端口:
- SSH(默认端口22):
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- HTTP(80端口):
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- HTTPS(443端口):
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
拒绝或丢弃非法请求
默认策略通常设置为DROP或REJECT,增强安全性。
设置默认策略:
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
拒绝特定IP访问:
iptables -A INPUT -s 192.168.1.100 -j DROP
阻止某个IP连接特定端口:
iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j REJECT
保存和恢复规则
iptables规则默认在重启后丢失,需手动保存。
在CentOS/RHEL系统中:
service iptables save
或使用:
iptables-save > /etc/iptables/rules.v4
恢复规则:
iptables-restore < /etc/iptables/rules.v4
Debian/Ubuntu系统建议安装 iptables-persistent 包自动保存规则。
基本上就这些。掌握iptables的核心在于理解链(chain)、表(table)、匹配条件和动作(ACCEPT、DROP等)。规则顺序很重要,靠前的规则优先匹配。配置时注意不要将自己锁在SSH之外,建议在本地或有备用访问方式下操作。
