Linux防火墙配置及iptables管理技巧

你在学习文章相关的知识吗？本文《Linux防火墙配置与iptables规则管理》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

配置Linux网络防火墙策略的核心在于使用iptables工具，围绕表、链、规则进行设置。1. 理解四类表的作用：filter表用于过滤流量，nat表处理地址转换，mangle表修改数据包头部，raw表禁用连接跟踪；2. 设置默认策略为INPUT和FORWARD链DROP、OUTPUT链ACCEPT，实现最小权限原则；3. 添加允许规则，包括回环接口、已建立连接、特定服务端口（如SSH、HTTP、HTTPS）、ICMP等，注意规则顺序影响匹配结果；4. 持久化保存规则，在Debian/Ubuntu中使用netfilter-persistent工具自动保存加载，在CentOS/RHEL中手动保存至/etc/sysconfig/iptables并启用服务加载，也可通过自定义脚本实现；5. 利用高级模块如--limit限制流量防攻击、--mac-source基于MAC过滤、--time按时间段控制访问等；6. 配置NAT实现共享上网与端口转发，使用MASQUERADE做SNAT、DNAT映射外部请求、REDIRECT重定向流量。合理运用这些步骤可构建安全高效的网络防护体系。

配置Linux网络防火墙策略，核心在于利用iptables这个强大的工具来定义和管理流量规则。它就像你家门口的保安，决定哪些人能进来，哪些人能出去，以及谁能把包裹送给谁。理解它的工作原理，就是掌握了网络安全的一把钥匙。

解决方案

iptables的工作机制围绕着“表”（tables）、“链”（chains）和“规则”（rules）展开。简单来说，数据包进入系统时，会根据预设的路径（链）依次匹配规则，一旦匹配成功，就会执行相应的动作（如接受、丢弃、拒绝）。

基本操作思路：

1. 理解表与链：

   • filter表： 这是最常用的表，负责过滤数据包，决定是否允许数据包通过。它包含 INPUT（流入本机的）、OUTPUT（本机发出的）和 FORWARD（经过本机转发的）三条默认链。
   • nat表： 用于网络地址转换，比如端口转发或共享上网。它有 PREROUTING（数据包到达前）、POSTROUTING（数据包离开后）等链。
   • mangle表： 用于修改数据包头部，比如TTL值。
   • raw表： 用于禁用连接跟踪。
   • security表： 用于SELinux集成。

2. 设定默认策略： 出于安全考虑，我个人习惯将 INPUT 和 FORWARD 链的默认策略设置为 DROP（直接丢弃数据包，不返回任何信息），而 OUTPUT 链通常设置为 ACCEPT。这意味着，除非你明确允许，否则任何进入或试图通过你机器的流量都会被阻止。

   

   # 设置默认策略为DROP，确保安全
   sudo iptables -P INPUT DROP
   sudo iptables -P FORWARD DROP
   sudo iptables -P OUTPUT ACCEPT # 通常允许本机对外连接

3. 添加允许规则： 在默认DROP的前提下，你需要逐条添加允许特定流量通过的规则。记住，规则的顺序很重要，iptables是从上到下依次匹配的，一旦匹配成功就执行动作。

   • 允许本地回环接口： 允许本机与本机之间的通信。

     sudo iptables -A INPUT -i lo -j ACCEPT

   • 允许已建立和相关连接： 这是非常关键的一步，允许你发起的连接（比如你访问一个网站）的响应数据包能够回来。

     sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

   • 允许特定服务（例如SSH）：

     sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许SSH
     sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 允许HTTP
     sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许HTTPS

   • 允许ICMP（ping）：

     sudo iptables -A INPUT -p icmp -j ACCEPT

4. 查看、删除和清空规则：

   • 查看所有规则：

     sudo iptables -L -n -v

   • 清空所有规则（慎用！）：

     sudo iptables -F # 清空所有链的规则
     sudo iptables -X # 删除所有用户自定义链
     sudo iptables -Z # 清空所有链的计数器

   • 删除特定规则： 可以通过规则编号或精确匹配规则来删除。

     sudo iptables -D INPUT 1 # 删除INPUT链的第一条规则
     # 或者
     sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT # 精确匹配删除

5. 持久化规则：iptables规则默认是临时的，系统重启后会丢失。所以，你需要将它们保存下来。

   • Debian/Ubuntu系：

     sudo apt-get install netfilter-persistent # 安装持久化工具
     sudo netfilter-persistent save # 保存当前规则
     # 重启后会自动加载

   • CentOS/RHEL系：

     sudo yum install iptables-services # 安装服务
     sudo systemctl enable iptables # 启用服务
     sudo iptables-save > /etc/sysconfig/iptables # 保存规则到文件
     sudo systemctl restart iptables # 重启服务加载

为什么我的iptables规则总是重启就失效？——防火墙规则的持久化之道

这绝对是初学者最常遇到的一个“坑”，我当年也为此挠头不已。你辛辛苦苦敲了一堆规则，测试没问题，一重启机器，防火墙就“裸奔”了。原因很简单：iptables的规则是存储在内核内存中的，一旦系统关机或重启，这部分内存就会被清空。所以，我们需要一个机制来在系统启动时自动加载这些规则。

持久化规则的方法，其实就是将内存中的规则“固化”到硬盘上的一个文件里，然后在系统启动的某个阶段，再从这个文件里把规则“读”回内存。

主流的Linux发行版都有各自推荐的持久化方案：

• Debian/Ubuntu家族： 它们倾向于使用 netfilter-persistent 这个包。安装之后，它会提供一个服务，这个服务会在系统关机时自动调用 iptables-save 命令把当前规则保存到 /etc/iptables/rules.v4 (IPv4) 和 /etc/iptables/rules.v6 (IPv6) 文件中。而在系统启动时，又会自动调用 iptables-restore 从这些文件加载规则。你只需要在设置好规则后运行 sudo netfilter-persistent save 就行了。这种方式很“傻瓜化”，用起来很省心。

• CentOS/RHEL家族： 它们过去习惯使用 iptables-services 包。你需要手动执行 sudo iptables-save > /etc/sysconfig/iptables 将规则保存到这个特定文件。然后确保 iptables 服务是启用并启动的 (sudo systemctl enable iptables && sudo systemctl start iptables)，这样系统启动时，服务会从 /etc/sysconfig/iptables 读取并加载规则。现在，新版本更多转向 firewalld，但如果你坚持用 iptables，这个方法依然有效。

• 手动脚本方式： 还有一种更通用的方法，就是自己写一个简单的启动脚本。比如，你可以把所有 iptables 命令写到一个 .sh 文件里，然后把这个脚本的执行命令添加到 /etc/rc.local (如果存在且可用) 或者创建一个 systemd 服务单元文件，让它在网络服务启动后执行。这种方式更灵活，但对使用者要求更高。

无论哪种方法，核心都是“保存”和“加载”。我建议你在每次对防火墙规则做出重大修改后，都立即进行保存操作。这就像写代码要及时提交一样，避免辛劳白费。

设计一个安全的iptables策略，从何入手？——默认策略与常见链的应用技巧

设计一个真正安全的iptables策略，绝不是简单地打开几个端口那么简单。在我看来，最核心的理念是“最小权限原则”——只允许你明确需要的，拒绝所有不明确的。

1. 默认策略的“铁律”： 这是构建安全防火墙的第一步，也是最重要的一步。我总是建议将INPUT和FORWARD链的默认策略设置为DROP。

• iptables -P INPUT DROP： 这意味着，所有尝试进入你Linux主机的网络连接，除非有明确的规则允许，否则都会被无声无息地丢弃。攻击者甚至不会知道你的主机是否存在。这是最强的防御姿态。
• iptables -P FORWARD DROP： 如果你的Linux主机不作为路由器或网关，那么这条规则是必须的。它阻止了任何数据包通过你的主机转发到其他网络，避免了成为不必要的中间人。
• iptables -P OUTPUT ACCEPT： 通常情况下，我们希望本机能够自由地发起对外连接，比如访问网站、更新软件。所以OUTPUT链通常设置为ACCEPT。当然，在一些极端安全要求的场景下（比如服务器只允许连接特定的数据库或API），你也可以将OUTPUT设置为DROP，然后逐一放行。

2. 规则顺序的重要性：iptables规则的匹配是线性的，从上到下。一旦一个数据包匹配了某条规则，并且这条规则指定了一个终止动作（如ACCEPT、DROP、REJECT），那么这个数据包就不会再继续匹配后续的规则了。这给我们一个启示：

• 更具体的规则应该放在前面。 例如，如果你想拒绝某个特定IP地址访问SSH，但又想允许所有其他IP访问SSH，那么拒绝特定IP的规则必须放在允许所有IP访问SSH的规则之前。
• 允许规则通常放在拒绝规则之前，但默认策略是拒绝时，允许规则才生效。

3. INPUT链的精细化管理： 这是你服务器对外服务的“门面”。除了之前提到的允许回环接口和已建立连接之外，你需要根据服务器提供的服务来添加规则：

• SSH (22/tcp)： 这是管理服务器的生命线。务必允许。 sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT 考虑加上源IP限制：sudo iptables -A INPUT -s 你的管理IP/24 -p tcp --dport 22 -j ACCEPT
• HTTP/HTTPS (80/tcp, 443/tcp)： 如果是Web服务器，这是必须的。 sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
• 其他服务： 数据库（MySQL 3306/tcp, PostgreSQL 5432/tcp）、FTP（21/tcp）、邮件服务（SMTP 25/tcp, POP3 110/tcp, IMAP 143/tcp）等，根据实际需求开放。
• ICMP (ping)： 允许ping有助于网络诊断，但也可以为了隐蔽性而拒绝。 sudo iptables -A INPUT -p icmp -j ACCEPT

4. FORWARD链用于路由和NAT： 如果你的Linux主机是作为路由器、网关或者需要进行端口转发，那么FORWARD链就会派上用场。

• 允许转发： 你需要允许特定的流量从一个接口转发到另一个接口。 sudo iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
• NAT（下一节会详细讲）： nat表中的PREROUTING和POSTROUTING链是进行地址转换的关键。

5. 状态模块 (-m state) 的妙用： 这是iptables最强大的功能之一，也是构建现代防火墙的基础。--state ESTABLISHED,RELATED规则允许所有已经建立连接的响应流量通过。这意味着你不需要为每个对外发起的连接（比如你用wget下载文件）都单独开一个入站端口，只要是你主动建立的连接，其回传的数据包就能被允许。这大大简化了规则集，同时也提高了安全性。

面对复杂的网络环境，iptables还能做什么？——高级匹配与NAT配置探秘

iptables的强大之处远不止于简单的端口和IP过滤。当面对更复杂的网络需求，比如内网共享上网、端口映射、甚至简单的DDoS防护时，它都能派上用场。

1. 高级匹配条件： 除了基于源/目的IP和端口，iptables还支持很多高级匹配模块，让规则更加精细化。

• --mac-source： 基于MAC地址匹配。 sudo iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT （注意：MAC地址容易伪造，不应作为主要安全手段，但在局域网内有一定作用。）
• --limit 和 --burst： 流量限制，常用于防止暴力破解或DDoS攻击。比如，限制SSH连接尝试的频率。 sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 5/minute --limit-burst 10 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 22 -j DROP 这条规则的意思是：每分钟最多允许5个新的SSH连接尝试，突发峰值可达10个。超过这个限制的连接尝试会被丢弃。这能有效缓解针对SSH的暴力破解攻击。
• --string： 匹配数据包中的字符串。这个功能比较耗费CPU，通常用于非常特定的场景，比如阻止包含特定关键词的HTTP请求（但更推荐使用专业的Web应用防火墙）。 sudo iptables -A FORWARD -m string --algo bm --string "bad_word" -j DROP
• --time： 基于时间段匹配。 sudo iptables -A INPUT -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 17:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT （只在工作日工作时间允许HTTP访问）
• --conntrack： 结合连接跟踪，可以匹配连接的更多状态信息，比如连接的字节数、包数等。

2. NAT (Network Address Translation) 配置： NAT是iptables在nat表中提供的核心功能，它允许我们修改数据包的源IP或目的IP（有时也包括端口）。这在构建内网共享上网、端口转发等场景中至关重要。

• SNAT (Source NAT) / Masquerading： 最常见的应用是让内网的机器通过一台Linux网关访问互联网。内网机器发出的数据包，其源IP会被网关的公网IP所取代。当响应数据包返回时，网关再将其目的IP改回内网机器的IP。 通常在POSTROUTING链上操作，使用MASQUERADE目标。 假设你的公网接口是eth0，内网是eth1：

  sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

  同时，你还需要确保Linux内核开启了IP转发： sudo sysctl -w net.ipv4.ip_forward=1 并将此设置写入/etc/sysctl.conf以持久化。

• DNAT (Destination NAT)： 也叫端口转发或端口映射。当外部网络访问你公网IP的某个端口时，iptables可以将这个连接的目的IP和端口修改为内网中另一台机器的IP和端口。 通常在PREROUTING链上操作。 例如，将公网IP的80端口请求转发到内网服务器192.168.1.100的80端口：

  sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80

  如果你希望网关本身也能访问到这个转发后的服务，可能还需要在OUTPUT链上加一条规则（这取决于你的iptables版本和内核）。

• REDIRECT： 这是DNAT的一种特殊形式，它将数据包重定向到本机的一个端口。常用于强制HTTP流量到代理服务器，或者将所有HTTP请求重定向到HTTPS。

  sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

  （将所有到80端口的请求重定向到本机的8080端口）

iptables的配置确实需要一些耐心和细致，尤其是当你面对复杂的网络拓扑时。但一旦你掌握了它的基本原理和常用模块，你会发现它在网络安全和管理方面，能给你带来极大的自由度和控制力。记住，在生产环境中修改防火墙规则前，务必做好备份，并在测试环境中充分验证。

今天关于《Linux防火墙配置及iptables管理技巧》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！