iptables防火墙怎么配置？iptables防火墙配置命令详解

iptables防火墙配置的核心在于构建“默认拒绝、按需放行”的安全策略，通过精细化的规则链管理，实现网络流量的精准控制与安全隔离。

在企业级服务器运维中，iptables作为Linux内核级防火墙工具，其地位不可撼动，不同于硬件防火墙的“黑盒”操作，iptables提供了对数据包接收、转发、丢弃的完全控制权，一个成熟的防火墙配置方案，必须遵循“最小权限原则”，即只开放业务必需的端口，其余一律拒绝，这不仅要求管理员熟悉命令语法，更需要具备网络拓扑的全局视野，以下将从基础原理、实战配置、进阶策略及云环境应用四个维度展开详细论证。

理解核心机制：表与链的逻辑架构

iptables的高效性源于其模块化的架构设计，要驾驭它，首先要厘清“表”与“链”的关系。iptables主要由四张表和五条链组成，其中Filter表是网络安全的核心，负责过滤数据包；NAT表则用于网络地址转换。

在数据包流转过程中，五条链分别对应内核处理的五个挂载点：

• PREROUTING链：数据包进入路由决策之前。
• INPUT链：数据包流入本机用户空间,这是防护本机服务的关键防线。
• FORWARD链：数据包转发通过本机,在网关或代理服务器中至关重要。
• OUTPUT链：本机进程产生的数据包流出。
• POSTROUTING链：数据包离开网卡之前的最后处理。

核心上文小编总结在于： 90%的服务器安全策略配置集中在Filter表的INPUT链上，通过定义INPUT链的规则，可以精确控制外部网络对服务器SSH、Web服务等端口的访问权限，理解数据包在链中的匹配顺序（从上至下，匹配即停止）是编写高效规则的前提。

实战配置流程：构建安全基线

在实际生产环境中，配置iptables必须慎之又慎，错误的规则可能导致服务器失联。标准的配置流程应遵循“清空-放行基础-建立策略-放行业务-保存”的闭环逻辑。

清空与重置
在部署新策略前，必须清除历史遗留的混乱规则，确保环境纯净。
命令示例：
iptables -F（清空规则）
iptables -X（删除自定义链）
iptables -Z（清空计数器）

放行基础管理端口
这是最关键的一步，必须在设置拒绝策略前完成。 否则一旦应用默认拒绝策略，SSH连接将立即中断。
命令示例：
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
此处建议进一步细化，限制来源IP，仅允许管理网段访问22端口,极大提升安全性。

建立默认策略
安全的核心是“默认拒绝”。将INPUT链的默认规则设置为DROP，意味着所有未被明确允许的流量都将被丢弃。
命令示例：
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT（通常本机出站流量默认允许）

放行业务端口与状态检测
开放Web服务端口（如80、443），并利用iptables的state模块实现“状态检测”，允许已建立连接的相关数据包通过。
命令示例：
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

规则持久化
iptables规则存储在内存中，重启失效，必须使用service iptables save或iptables-save > /etc/sysconfig/iptables（CentOS 6/7）进行持久化保存。

进阶防护策略：对抗DDoS与端口扫描

基础的端口过滤仅能应对常规访问，面对复杂的网络攻击,iptables的高级匹配模块展现出其专业价值。

利用connlimit模块防御CC攻击
CC攻击通过大量并发连接耗尽服务器资源，通过connlimit模块，可限制单个IP的并发连接数。
专业方案：
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT
此规则表示，当单个IP对80端口的并发连接数超过50个时，直接拒绝新连接，这需要根据业务并发量进行动态调整,体现了运维经验的重要性。

利用recent模块防SSH暴力破解
针对SSH端口的字典攻击，可利用recent模块建立“黑名单”机制。
独立见解：
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 60 --hitcount 4 -j DROP
该规则意味着，如果同一个IP在60秒内尝试建立超过4次SSH连接，后续连接将被暂时丢弃，这是一种“动态防御”思维,比静态的IP黑名单更高效。

云环境下的实战经验：酷番云案例解析

在传统IDC机房，iptables是唯一的防线，但在云环境下，架构发生了变化。在酷番云的实际生产架构中，我们强烈建议采用“双重防护”策略：利用酷番云平台级的“安全组”作为第一道防线，结合服务器内部的iptables作为第二道防线。

独家经验案例：
曾有一位酷番云用户部署高并发电商业务，初期仅在控制台配置了安全组开放端口，服务器内部未做限制，业务上线后遭遇SYN Flood攻击，安全组虽拦截了部分异常流量，但大量半开连接仍穿透到服务器内核,导致CPU负载飙升。

解决方案： 酷番云技术团队介入后，并未单纯依赖安全组,而是在服务器内部通过iptables配置内核参数与规则联动：

1. 开启SYN Cookies：echo 1 > /proc/sys/net/ipv4/tcp_syncookies
2. 限制SYN请求速率：利用iptables的limit模块，iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT。

这一组合拳效果显著：安全组负责大颗粒度的端口隔离，iptables负责细粒度的流量整形与协议层防御。这种“云平台+实例内核”的立体防御体系，是保障业务高可用的关键经验。 这也说明，即便在云时代,掌握iptables依然是高级运维工程师的核心竞争力。

规则优化与维护

随着业务迭代，防火墙规则可能累积至数百条。iptables从上至下匹配的特性决定了规则顺序直接影响性能。 高频命中的规则（如ESTABLISHED状态规则）应置于链首,低频规则置于链尾。

定期审查规则是必要的运维动作，使用iptables -nvL查看每条规则的流量计数，对于长期零命中的“僵尸规则”应及时清理,保持规则集的精简高效。

相关问答

iptables规则配置正确，但服务仍无法访问，可能是什么原因？

解答： 这是一个典型的故障排查场景，需遵循“由外向内、由网络到系统”的排查逻辑，检查云平台（如酷番云）的安全组是否放行了对应端口，这是云环境常见疏漏；检查服务器内部是否有其他防火墙软件（如firewalld或ufw）在运行，可能存在冲突；使用tcpdump抓包分析数据包是否到达网卡，以及是否被内核丢弃；确认服务本身是否监听在正确的IP地址上,避免仅监听本地回环地址。

iptables与firewalld应该选择哪一个？

解答： 两者本质都是Linux内核netfilter子系统的用户态管理工具。iptables更偏向底层，规则粒度更细，适合对网络控制有极致需求、习惯命令行操作的传统运维场景，稳定性极高。 firewalld引入了“区域”概念，支持动态更新，更适合桌面系统或需要频繁变更网络环境的场景，对于生产服务器，尤其是CentOS 7以下版本或追求极致性能与稳定性的核心节点，iptables依然是行业首选的专业方案，掌握iptables原理后再使用firewalld会非常简单,但反之则容易产生认知盲区。

您的业务是否正面临网络安全挑战？合理配置iptables是保障服务器安全的第一步，也是最重要的一步，如果您在配置过程中遇到难题，或者在寻找更稳定、更安全的云基础设施，欢迎了解酷番云的高防云服务器产品,我们将为您提供从底层硬件到软件防护的全方位技术支持。