ubuntu 配置 iptables 教程，ubuntu iptables 怎么配置

在Ubuntu系统中，iptables作为Linux内核级防火墙工具，其配置的正确性直接关系到服务器的网络安全与运行稳定性。核心上文小编总结是：配置iptables必须遵循“默认拒绝、按需放行”的白名单原则，同时必须配置持久化规则，否则重启后规则丢失将导致服务不可用或安全防线崩溃。 一个完善的iptables策略不仅仅是拦截流量，更是对业务逻辑的网络层实现,需要结合实际的云环境架构进行精细化打磨。

理解iptables架构与链路优先级

iptables的核心运作机制基于“表”和“链”，对于大多数运维场景，主要关注filter表（过滤表），它包含INPUT（进入）、OUTPUT（外出）和FORWARD（转发）三条链，在配置前,必须明确数据包的流向逻辑。

专业的配置习惯是首先清空现有规则，避免历史遗留策略干扰。 使用iptables -F清空规则，iptables -X删除自定义链，在初始化阶段，最关键的操作是设置默认策略，为了保证配置过程中SSH连接不被意外中断，必须先放行SSH端口（通常是22）,然后再将INPUT链的默认策略设置为DROP。

这一步体现了“安全基线”思维：默认拒绝一切，只开放已知且必要的端口，这与Windows防火墙或云厂商安全组的逻辑一致，但在操作系统层面,iptables提供了更细粒度的控制权。

核心规则配置实战：从基础到进阶

配置规则时，顺序至关重要，iptables是从上至下匹配规则,一旦匹配成功则不再继续。

基础端口放行
Web服务器通常需要开放80（HTTP）和443（HTTPS）端口。
命令示例：
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
这里使用了-A（Append）追加规则。务必注意，如果是修改远程服务器规则，应使用-I（Insert）插入到DROP规则之前，或者确保在设置默认DROP之前已放行管理端口。

状态检测机制
这是iptables区别于普通包过滤防火墙的高级特性。利用conntrack模块，允许“已建立连接”和“相关连接”的数据包通过，是提升安全性与效率的关键。
命令示例：
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
这条规则意味着，服务器主动发起的出站连接（如yum更新、curl请求）的回包会被自动允许进入，无需为每个回包单独写规则，这不仅减少了规则数量,还极大提升了防御能力。

防御性规则配置
针对常见的攻击手段,iptables具备强大的防御能力。

• 防Ping扫描：iptables -A INPUT -p icmp --icmp-type 8 -j DROP，禁止外部Ping请求,隐藏服务器在线状态。
• 防SYN洪水攻击：iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT,通过limit模块限制TCP连接请求的速率。

规则持久化：避免“配置失效”陷阱

这是Ubuntu配置中最容易被忽视的痛点。iptables规则存储在内存中，系统重启后规则会自动清空。 许多运维人员曾遭遇过重启服务器后网站无法访问的窘境,原因就在于未做持久化。

在Ubuntu系统中，推荐使用iptables-persistent工具，安装后，它会在/etc/iptables/rules.v4文件中保存规则，并在网络启动时自动加载。
操作流程：

1. apt-get install iptables-persistent
2. 配置完规则后，执行iptables-save > /etc/iptables/rules.v4。
   这一步骤看似简单,却是保障服务高可用性的基石。

酷番云实战案例：iptables与云安全组的协同防御

在酷番云的实际客户服务案例中，我们曾遇到一位金融行业客户，其业务频繁遭受CC攻击，导致CPU负载飙升，客户最初仅在酷番云控制台配置了安全组，虽然安全组能拦截大部分扫描，但对于针对Web端口（80/443）的合法请求连接攻击,安全组无法识别恶意行为。

酷番云技术团队介入后，实施了“双重防护”策略：

1. 云安全组层面：仅开放80、443及SSH管理端口，屏蔽所有非业务端口,利用酷番云高防清洗中心清洗大流量DDoS攻击。
2. 系统iptables层面：配置精细化限流策略，利用iptables的recent模块，对单IP在60秒内的HTTP连接数进行限制,超过阈值则暂时封禁IP。

具体解决方案如下：
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
该规则限制单个IP并发连接数不超过50。这种“云端清洗+系统层精细化限流”的组合拳，成功将客户服务器的CPU占用率从95%降至20%以下。 此案例充分证明，在云服务器架构中，iptables并非多余，而是安全组之后的最后一道智能防线，两者互为补充,缺一不可。

运维管理与排错建议

配置完成后,管理与排错同样重要。

• 查看规则：使用iptables -nL --line-numbers，-n选项可避免反向解析DNS，极大加快显示速度，--line-numbers便于删除特定规则。
• 删除规则：先查看行号，再使用iptables -D INPUT 行号进行精准删除。
• 日志审计：对于被拒绝的流量，建议配置LOG目标进行记录，便于事后分析攻击来源。iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: "。

专业的运维不仅仅是让服务跑起来，更是要构建一套可追溯、可防御的安全体系，iptables的配置文件应当像代码一样进行版本管理，每一次变更都应有记录,确保在发生安全事件时能够快速回滚。

相关问答

Q1: 在Ubuntu中，iptables和ufw（Uncomplicated Firewall）有什么区别，应该选择哪个？

A: iptables是Linux内核级Netfilter框架的用户空间管理工具，功能最全面、性能最高，但语法相对复杂，ufw是Ubuntu推出的iptables前端简化工具，旨在简化防火墙配置。 对于个人桌面或简单应用，ufw足够使用；但对于生产环境服务器，特别是需要复杂规则（如限速、防攻击、自定义链）的场景，强烈建议直接使用iptables，ufw在某些情况下可能会与手动配置的iptables规则冲突，且其封装层可能掩盖底层细节,不利于深度排错。

Q2: 配置iptables时不小心把自己锁在外面了，无法SSH连接，该怎么办？

A: 这是新手最常遇到的问题。解决方案通常有两种：

1. 通过云厂商控制台的VNC/远程连接功能登录：酷番云等主流云服务商控制台均提供“远程连接”或VNC功能，该连接走的是内部通道或控制台代理，不经过公网iptables规则，登录后执行iptables -F清空规则即可恢复。
2. 单用户模式重启：如果是物理机，需重启进入单用户模式修改，但在云环境下，最可靠的方法是利用云平台的“重置系统”或“挂载救援盘”功能，或者确保在配置前已安装iptables-persistent并备份了正确规则,通过控制台注入脚本恢复。