一、iptables概述：Linux防火墙的核心

iptables是Linux系统中最常用的防火墙工具，属于Netfilter框架的一部分。它通过定义规则链（Chain）和规则表（Table）实现网络流量控制，是保护服务器安全的第一道防线。与早期的ipchains相比，iptables支持更复杂的规则匹配和动作处理，且性能更优。

核心优势：

• 规则链灵活：支持INPUT、OUTPUT、FORWARD等默认链，并可自定义链。
• 规则表丰富：包含filter（过滤）、nat（地址转换）、mangle（数据包修改）、raw（状态跟踪）四张表。
• 高性能：基于内核模块实现，直接处理网络层数据，效率极高。

二、iptables核心组件详解

1. 规则表（Tables）

iptables的规则表决定了规则的应用场景，不同表对应不同的功能：

• filter表：默认表，用于数据包过滤（允许/拒绝）。
• nat表：处理网络地址转换（如端口转发、IP映射）。
• mangle表：修改数据包头部信息（如TTL、标记）。
• raw表：关闭连接跟踪，用于高性能场景。

示例：查看所有表的规则

iptables -t filter -L  # 查看filter表规则
iptables -t nat -L     # 查看nat表规则

2. 规则链（Chains）

规则链是规则的集合，数据包按链的顺序匹配规则：

• INPUT链：处理入站数据包（目标为本地）。
• OUTPUT链：处理出站数据包（源为本地）。
• FORWARD链：处理转发数据包（通过本机）。
• 自定义链：用户可创建链，实现更复杂的逻辑。

示例：创建自定义链并添加规则

iptables -N custom_chain  # 创建自定义链
iptables -A INPUT -p tcp --dport 80 -j custom_chain  # 将TCP 80端口流量跳转到自定义链
iptables -A custom_chain -j DROP  # 在自定义链中丢弃所有流量

3. 规则匹配条件

规则通过匹配条件决定是否执行动作，常见条件包括：

• 协议类型：-p tcp/udp/icmp
• 端口号：--dport 80（目标端口）、--sport 22（源端口）
• IP地址：-s 192.168.1.0/24（源IP）、-d 10.0.0.1（目标IP）
• 接口：-i eth0（入站接口）、-o eth1（出站接口）
• 状态：-m state --state NEW,ESTABLISHED

示例：允许已建立的SSH连接，拒绝新连接

iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP

三、iptables规则配置方法

1. 添加规则

使用-A（追加）或-I（插入）添加规则：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT  # 允许HTTP流量
iptables -I INPUT 1 -p icmp -j DROP           # 在第一条插入规则，丢弃ICMP

2. 删除规则

通过行号或规则内容删除：

iptables -L INPUT --line-numbers  # 查看规则行号
iptables -D INPUT 2                # 删除INPUT链的第二条规则
iptables -D INPUT -p tcp --dport 80 -j ACCEPT  # 按规则内容删除

3. 修改规则

先删除旧规则，再添加新规则，或使用-R替换：

iptables -R INPUT 1 -p tcp --dport 443 -j ACCEPT  # 替换第一条规则

4. 保存与恢复规则

不同Linux发行版保存规则的方式不同：

• Debian/Ubuntu：使用iptables-persistent

  apt install iptables-persistent
  netfilter-persistent save

• CentOS/RHEL：使用service iptables save或手动保存到/etc/sysconfig/iptables

恢复规则：

iptables-restore < /etc/iptables.rules  # 从文件恢复

四、iptables实战应用场景

1. 基础防护：允许SSH，拒绝其他

iptables -P INPUT DROP  # 默认拒绝所有入站流量
iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许SSH
iptables -A INPUT -i lo -j ACCEPT  # 允许本地回环
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  # 允许已建立连接

2. 端口转发：将80端口转发到内网服务器

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
iptables -t nat -A POSTROUTING -j MASQUERADE  # 启用NAT

3. 限制连接数：防止DDoS攻击

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP  # 限制每个IP最多50个连接

4. 日志记录：监控被拒绝的流量

iptables -A INPUT -j LOG --log-prefix "DROPPED: "  # 记录被拒绝的流量
iptables -A INPUT -j DROP

五、iptables高级技巧

1. 使用recent模块防止暴力破解

iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_ATTACK --update --seconds 60 --hitcount 4 -j DROP
iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_ATTACK --set -j ACCEPT

2. 多表协同：结合filter和nat表

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80  # 将8080重定向到80

3. 性能优化：跳过不必要的链

iptables -A INPUT -i eth0 -j ACCEPT  # 允许eth0接口的所有流量，跳过后续规则

六、常见问题与解决方案

1. 规则不生效

• 原因：规则顺序错误、表未指定、未保存规则。
• 解决：使用iptables -L -v --line-numbers检查规则顺序，确保指定表（如-t nat）。

2. 连接中断

• 原因：误删允许ESTABLISHED连接的规则。
• 解决：始终保留以下规则：

  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

3. 性能下降

• 原因：规则过多、日志记录过多。
• 解决：合并规则、限制日志频率。

七、总结与建议

iptables是Linux防火墙的核心工具，掌握其基本应用能显著提升系统安全性。建议开发者：

1. 从简单规则开始：先配置允许SSH和ICMP，再逐步添加复杂规则。
2. 定期备份规则：使用iptables-save保存规则，避免误操作导致断网。
3. 结合日志分析：通过journalctl -u iptables或/var/log/syslog监控流量。
4. 考虑替代方案：对于复杂场景，可评估nftables（iptables的下一代替代品）。

通过合理配置iptables，开发者能有效防御网络攻击，保障服务器稳定运行。