iptables防火墙配置：从基础到实战

原创于 2025-08-21 14:23:56 发布 · 622 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #防火墙 #iptables

防火墙专栏收录该内容

2 篇文章

订阅专栏

引言

在当今网络安全威胁日益严峻的环境下，作为Linux系统管理员或运维工程师，掌握iptables防火墙的配置与管理已成为必备技能。iptables作为Linux内核集成的强大防火墙工具，提供了精细化的网络流量控制能力，能够有效保护服务器免受各类网络攻击。

本文将系统性地介绍iptables的核心概念、基础命令、实战配置以及高级应用技巧，帮助你从入门到精通，构建安全可靠的网络防护体系。

一、iptables核心概念解析

1.1 iptables架构概述

iptables基于Netfilter框架运行，通过规则表（Tables）和规则链（Chains）对网络数据包进行过滤和处理。理解其架构是掌握iptables的基础。

1.2 四表五链详解

四大功能表

filter表：默认表，用于数据包过滤，包含INPUT、FORWARD、OUTPUT三个链
nat表：网络地址转换，包含PREROUTING、POSTROUTING、OUTPUT三个链
mangle表：数据包修改，可修改TTL、TOS等标记，包含所有五个链
raw表：数据包跟踪，包含PREROUTING、OUTPUT两个链

五大处理链

INPUT链：处理进入本机的数据包
OUTPUT链：处理从本机发出的数据包
FORWARD链：处理经过本机转发的数据包
PREROUTING链：数据包进入路由之前处理
POSTROUTING链：数据包离开路由之后处理

1.3 数据包处理流程

iptables采用顺序匹配机制，数据包按照规则顺序从上到下进行匹配：

数据包进入防火墙后，按表和链的顺序进行处理
一旦匹配到规则，立即执行相应动作，不再继续匹配后续规则
若所有规则都未匹配，则执行链的默认策略

二、iptables基础命令详解

2.1 安装与启动

# 安装iptables（Ubuntu/Debian）
sudo apt update
sudo apt install iptables

# 安装iptables（CentOS/RHEL）
sudo yum install iptables

# 启动iptables服务
sudo systemctl start iptables
sudo systemctl enable iptables

# 查看iptables版本
iptables --version

2.2 基础管理命令

规则查看与清空

# 查看所有规则
sudo iptables -L -n --line-numbers

# 查看特定表的规则
sudo iptables -t nat -L -n

# 清空所有规则
sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F

# 删除自定义链
sudo iptables -X

默认策略设置

# 设置INPUT链默认策略为DROP
sudo iptables -P INPUT DROP

# 设置OUTPUT链默认策略为ACCEPT
sudo iptables -P OUTPUT ACCEPT

# 设置FORWARD链默认策略为DROP
sudo iptables -P FORWARD DROP

2.3 规则添加与删除

基本语法

iptables [-t 表名] 命令 [链名] [匹配条件] [-j 动作]

常用命令参数

-A：在链末尾添加规则
-I：在链开头插入规则
-D：删除指定规则
-R：替换指定规则
-L：列出规则
-F：清空规则
-Z：计数器清零

规则添加示例

# 允许SSH连接
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许HTTP连接
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 允许HTTPS连接
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 禁止特定IP访问
sudo iptables -A INPUT -s 192.168.1.100 -j DROP

# 删除第一条规则
sudo iptables -D INPUT 1

三、匹配条件与动作详解

3.1 通用匹配条件

协议匹配

# 匹配TCP协议
sudo iptables -A INPUT -p tcp -j ACCEPT

# 匹配UDP协议
sudo iptables -A INPUT -p udp -j ACCEPT

# 匹配ICMP协议
sudo iptables -A INPUT -p icmp -j ACCEPT

地址匹配

# 源地址匹配
sudo iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

# 目标地址匹配
sudo iptables -A INPUT -d 192.168.1.100 -j DROP

# 排除特定地址
sudo iptables -A INPUT ! -s 192.168.1.100 -j DROP

网络接口匹配

# 匹配进入接口
sudo iptables -A INPUT -i eth0 -j ACCEPT

# 匹配输出接口
sudo iptables -A OUTPUT -o eth0 -j ACCEPT

3.2 扩展匹配条件

端口匹配

# 单个端口匹配
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 端口范围匹配
sudo iptables -A INPUT -p tcp --dport 1000:2000 -j ACCEPT

# 多端口匹配
sudo iptables -A INPUT -p tcp -m multiport --dports 22,80,443 -j ACCEPT

连接状态匹配

# 允许已建立连接
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 允许新建连接
sudo iptables -A INPUT -m conntrack --ctstate NEW -j ACCEPT

速率限制匹配

# 限制连接速率
sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

# 限制每分钟连接数
sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/min -j ACCEPT

3.3 动作类型

ACCEPT：接受数据包

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

DROP：丢弃数据包

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

REJECT：拒绝数据包并通知发送方

sudo iptables -A INPUT -p tcp --dport 23 -j REJECT

LOG：记录日志

sudo iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH attempt: "

四、实战配置案例

4.1 基础安全配置

#!/bin/bash

# 清空所有规则
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X

# 设置默认策略
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

# 允许本地回环
sudo iptables -A INPUT -i lo -j ACCEPT

# 允许已建立连接
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 允许SSH
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许HTTP/HTTPS
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许DNS
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT

# 允许ICMP（有限制）
sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# 保存规则
sudo iptables-save > /etc/iptables/rules.v4

4.2 端口转发配置

# 启用IP转发
echo 1 > /proc/sys/net/ipv4/ip_forward

# 配置端口转发（将外部80端口转发到内部服务器）
sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
sudo iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 80 -j SNAT --to-source 192.168.1.1

# 允许转发流量
sudo iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT

4.3 防DDoS攻击配置

# 限制SYN包速率
sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

# 丢弃异常TCP包
sudo iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

# 限制单个IP连接数
sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP

# 防止Ping洪水攻击
sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

4.4 日志监控配置

# 记录SSH连接尝试
sudo iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH attempt: " --log-level 4

# 记录被拒绝的连接
sudo iptables -A INPUT -j LOG --log-prefix "Dropped: " --log-level 4

# 记录端口扫描
sudo iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "Port Scan: "

五、高级应用技巧

5.1 网络地址转换（NAT）

SNAT配置

# 配置源地址转换（内网共享上网）
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 203.0.113.10

DNAT配置

# 配置目标地址转换（端口映射）
sudo iptables -t nat -A PREROUTING -d 203.0.113.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80

5.2 连接跟踪优化

# 增加连接跟踪表大小
echo 655360 > /proc/sys/net/netfilter/nf_conntrack_max

# 调整连接跟踪超时时间
echo 120 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

5.3 自定义链使用

# 创建自定义链
sudo iptables -N SSH_PROTECTION

# 添加规则到自定义链
sudo iptables -A SSH_PROTECTION -m recent --set --name ssh
sudo iptables -A SSH_PROTECTION -m recent --update --seconds 60 --hitcount 4 --name ssh -j DROP
sudo iptables -A SSH_PROTECTION -j ACCEPT

# 在主链中调用自定义链
sudo iptables -A INPUT -p tcp --dport 22 -j SSH_PROTECTION