iptables概述与工作原理

iptables是Linux内核中Netfilter框架的前端工具，用于管理数据包的过滤、NAT转换及流量控制。其核心组件包括表（tables）、链（chains）和规则（rules），通过五表四链结构实现精细化流量管理。

五表结构详解

1. filter表：默认表，处理数据包过滤，包含INPUT、OUTPUT、FORWARD三条链，用于控制入站、出站及转发的流量。
2. nat表：处理网络地址转换，包含PREROUTING（路由前）、POSTROUTING（路由后）和OUTPUT链，常用于端口转发和IP伪装。
3. mangle表：修改数据包头部信息，如TTL、TOS等，适用于QoS和流量标记。
4. raw表：决定数据包是否被状态跟踪机制处理，包含PREROUTING和OUTPUT链。
5. security表：用于MAC（强制访问控制）框架，如SELinux，处理安全策略。

四链执行流程

数据包处理顺序由链的类型决定：

• 入站流量：PREROUTING（nat/mangle）→ INPUT（filter/mangle/security）
• 转发流量：PREROUTING → FORWARD（filter/mangle）→ POSTROUTING（nat/mangle）
• 出站流量：OUTPUT（nat/mangle/filter/security）→ POSTROUTING

iptables基础命令与规则配置

常用命令参数

• -A：追加规则到链末尾
• -I：插入规则到指定位置
• -D：删除规则
• -L：列出链中规则
• -P：设置链的默认策略（ACCEPT/DROP/REJECT）
• -s：匹配源IP
• -d：匹配目标IP
• -p：匹配协议类型（tcp/udp/icmp）
• --dport：匹配目标端口
• -j：指定跳转目标（ACCEPT/DROP/REJECT/SNAT/DNAT）

规则配置示例

1. 允许特定IP访问SSH

iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP  # 拒绝其他IP的SSH访问

2. 实现端口转发（将80端口转发到内网服务器）

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 80 -j MASQUERADE

3. 限制ICMP流量速率

iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p icmp -j DROP

iptables高级应用场景

NAT技术应用

1. IP伪装（SNAT）

适用于内网主机通过网关访问外网：

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# 或指定固定IP
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 203.0.113.1

2. 端口映射（DNAT）

将公网服务映射到内网服务器：

iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.1.100:443

安全策略优化

1. 防止SYN洪水攻击

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

2. 限制连接数

iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT

3. 日志记录与审计

iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "HTTP_ACCESS "
iptables -A INPUT -p tcp --dport 80 -j DROP

日志可通过/var/log/kern.log查看。

典型应用案例

案例1：企业Web服务器防护

1. 允许HTTP/HTTPS流量：

   iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   iptables -A INPUT -p tcp --dport 443 -j ACCEPT

2. 拒绝非法扫描：

   iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
   iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

3. 限制并发连接：

   iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT

案例2：家庭网络隔离

1. 允许内网DNS查询：

   iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT

2. 阻止外网访问内网设备：

   iptables -A INPUT -i eth0 -j DROP  # eth0为外网接口

3. 允许特定服务（如Plex）：

   iptables -A INPUT -i eth0 -p tcp --dport 32400 -j ACCEPT

最佳实践与注意事项

1. 规则顺序：iptables按顺序匹配规则，需将精确规则放在通用规则前。
2. 默认策略：生产环境建议设置默认策略为DROP，再通过白名单放行必要流量。
3. 持久化保存：使用iptables-save和iptables-restore保存规则，或通过netfilter-persistent服务实现开机加载。
4. 性能优化：
   • 合并相似规则（如多端口允许）。
   • 使用ipset管理大量IP列表。
   • 避免在PREROUTING链中使用复杂匹配。
5. 测试验证：使用iptables -t nat -L -n -v查看规则统计信息，通过tcpdump抓包验证流量走向。

总结与扩展

iptables作为Linux防火墙的核心工具，通过灵活的规则配置可实现从基础过滤到高级NAT的多样化需求。对于复杂环境，可结合ipset、conntrack等模块提升性能，或通过nftables（iptables的继任者）实现更简洁的语法。建议系统管理员定期审计规则，及时清理无用规则，确保防火墙的高效性与安全性。