Linux怎么设置防火墙规则 Linux使用iptables配置安全策略【进阶】

iptables是Linux内核级包过滤工具，支持默认拒绝策略、IP/网段访问控制、NAT转发及规则持久化，实现细粒度网络流量管控与安全防护。

如果您在Linux系统中需要精确控制网络流量的进出，iptables作为内核级包过滤工具，可直接操作Netfilter框架实现细粒度的安全策略配置。以下是针对常见安全需求的多种iptables规则设置方法：

一、启用默认拒绝策略并开放必要端口

该方法通过将INPUT链默认策略设为DROP，确保所有未明确允许的入站连接被拦截，再按需添加ACCEPT规则，构建最小权限访问模型。

1、将INPUT链默认策略设置为DROP：
iptables -P INPUT DROP

2、允许本地回环接口通信：
iptables -A INPUT -i lo -j ACCEPT

3、允许已建立或相关连接的流量通过：
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

4、开放SSH服务端口（默认22）：
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

5、开放HTTP和HTTPS端口：
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

二、限制特定IP或网段的访问

该方法用于阻止恶意来源或仅允许可信网络接入关键服务，通过源地址匹配结合连接数限制增强防护强度。

1、禁止来自192.168.5.100的全部访问：
iptables -A INPUT -s 192.168.5.100 -j DROP

2、仅允许10.0.0.0/24网段访问SSH服务：
iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT

3、对单IP地址的SSH连接进行速率限制（每分钟最多5次新连接）：
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 5/min --limit-burst 5 -j ACCEPT

4、对超出速率限制的SSH连接请求直接丢弃：
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP

三、配置NAT转发与端口映射

该方法适用于Linux主机作为网关或反向代理场景，利用iptables的nat表实现源地址转换（SNAT）或目的地址转换（DNAT），改变数据包的源或目标地址信息。

1、启用IP转发功能：
echo 1 > /proc/sys/net/ipv4/ip_forward

2、配置SNAT，使内网192.168.10.0/24访问外网时统一使用eth0接口公网IP：
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

3、配置DNAT，将外部访问本机8080端口的请求转发至内网192.168.10.5的80端口：
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.10.5:80

4、确保转发链允许该DNAT流量通过：
iptables -A FORWARD -d 192.168.10.5 -p tcp --dport 80 -j ACCEPT

四、保存与恢复iptables规则

iptables规则默认仅存在于内存中，系统重启后会丢失。需将当前规则持久化存储，并在启动时自动加载，确保策略持续生效。

1、在Debian/Ubuntu系统上保存规则到文件：
iptables-save > /etc/iptables/rules.v4

2、在CentOS/RHEL 7+系统上安装iptables-services并保存：
yum install iptables-services
systemctl enable iptables
service iptables save

3、手动保存规则至自定义路径（通用方式）：
iptables-save > /root/iptables-rules-backup

4、从文件恢复规则：
iptables-restore

五、记录可疑连接并触发告警

该方法通过LOG目标将匹配的数据包元信息写入系统日志，便于审计分析，同时可配合日志监控工具实现异常行为实时响应。

1、记录所有被DROP的INPUT链数据包（前10个字节）：
iptables -A INPUT -j LOG --log-prefix "IPTables-DROP: " --log-level 4 --log-tcp-options --log-ip-options

2、记录尝试访问非开放端口的TCP SYN包：
iptables -A INPUT -p tcp --syn -m state --state NEW -j LOG --log-prefix "SCAN-ATTEMPT: "

3、为记录后的包添加DROP动作（避免重复记录）：
iptables -A INPUT -p tcp --syn -m state --state NEW -j DROP

4、查看记录日志：
tail -f /var/log/messages | grep "IPTables-DROP\|SCAN-ATTEMPT"