iptables配置防火墙怎么做？iptables防火墙配置步骤详解

iptables作为Linux系统内核级防火墙，其核心价值在于通过规则链实现精细化的数据包过滤与网络访问控制，正确配置iptables是保障服务器安全、规避网络攻击的最后一道坚固防线。

在当今复杂的网络环境中，服务器面临着端口扫描、DDoS攻击、恶意入侵等多重威胁，相比于硬件防火墙的高昂成本，iptables凭借其免费、开源、灵活的特性，成为运维人员必须掌握的核心技能，一套完善的iptables策略，应当遵循“默认拒绝，按需放行”的原则，结合实际业务场景,构建起纵深防御体系。

理解iptables的核心架构与运行机制

要驾驭iptables，首先必须理解其“表”与“链”的逻辑关系，iptables不仅仅是一个简单的防火墙工具，它通过挂载在内核的Netfilter框架上,对数据包进行深度检测。

iptables的核心在于“四表五链”，filter表是安全配置的核心，主要用于数据包过滤；nat表用于网络地址转换；mangle表用于修改数据包头部信息；raw表用于决定数据包是否被状态跟踪机制处理。

在实际的安全防护配置中，filter表的三条链最为关键：

• INPUT链：处理流入服务器的数据包,这是防御外部攻击的第一道关卡。
• OUTPUT链：处理流出服务器的数据包,用于控制服务器对外访问权限。
• FORWARD链：处理转发数据包,在服务器作为路由器或网关时使用。

数据包在经过这些链时，会按照规则的顺序从上至下匹配，一旦匹配成功，则立即执行对应的动作（ACCEPT、DROP、REJECT等），不再继续向下匹配，这一机制要求我们在编写规则时，必须将高优先级、高频访问的规则放在前面,以提高性能并避免逻辑冲突。

构建安全的iptables基础规则集

基于“最小权限原则”，专业的防火墙配置应从默认策略开始，最安全的策略是默认拒绝所有入站流量，默认允许所有出站流量,然后根据业务需求逐一放行。

清空现有规则与设置默认策略
在配置初期，必须清空旧规则以避免干扰,并设定默认策略。

iptables -F  # 清空所有规则
iptables -X  # 删除所有自定义链
iptables -P INPUT DROP   # 默认拒绝入站
iptables -P FORWARD DROP # 默认拒绝转发
iptables -P OUTPUT ACCEPT # 默认允许出站

注意：在执行DROP默认策略前，务必先放行SSH端口，否则运维人员将断开连接无法管理服务器。

放行基础业务端口
必须显式允许关键服务端口，例如Web服务器的80和443端口,以及自定义的SSH端口。

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

启用状态检测机制
这是iptables最强大的功能之一，通过state模块，可以识别数据包的状态（NEW, ESTABLISHED, RELATED）。只允许已建立连接的响应数据包进入，可以有效防止非法的主动连接。

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

这条规则确保了服务器主动发起的对外请求（如yum更新、API调用）能够正常收到回包,同时拒绝外部主动发起的非法连接。

进阶防护：对抗网络攻击的专业方案

基础的端口过滤不足以应对SYN Flood等攻击手段,需要利用iptables的高级模块进行加固。

SYN Flood攻击防御
SYN Flood是典型的DoS攻击，通过发送大量伪造的TCP连接请求，耗尽服务器资源，通过调整TCP标志位和限制并发连接数,可以有效缓解。

# 限制SYN包的并发速率
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

此规则利用limit模块，限制了SYN包的通过频率，超过阈值的连接将被丢弃,从而保护服务器资源不被恶意连接耗尽。

防止Ping攻击与IP欺骗
虽然ICMP协议用于网络诊断，但过量的Ping请求可能导致带宽拥堵,应丢弃来自私有地址范围的伪造IP。

# 允许每秒1个Ping包
iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/s --limit-burst 3 -j ACCEPT
# 丢弃非法源IP（如内网IP从外网接口进入）
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j DROP
iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j DROP

酷番云实战案例：云环境下的iptables深度集成

在传统的物理服务器时代，iptables配置往往面临“单点失效”的风险，一旦规则配置错误导致SSH断开，运维人员必须通过IPMI或机房重启服务器恢复访问。而在酷番云的云服务器架构中，iptables的应用结合了云平台的高可用特性，展现出了独特的实战价值。

以酷番云某电商客户为例，该客户在“双十一”大促期间遭遇了针对性的CC攻击，攻击者模拟正常用户请求，频繁访问API接口，导致CPU飙升，单纯依赖酷番云底层的DDoS高防IP清洗了流量洪峰,但仍有部分恶意请求穿透到了应用层。

解决方案：
酷番云技术团队协助客户在云服务器内部署了定制化的iptables规则，不同于常规的端口放行，我们利用了recent模块，针对特定的API URI访问频率进行了限制。

# 记录访问特定端口的IP，60秒内超过20次连接则丢弃
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP --rcheck --seconds 60 --hitcount 20 -j DROP
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP --set -j ACCEPT

这一方案的优势在于：酷番云的控制台提供了“VNC远程连接”功能，即使iptables规则误杀导致网络中断，用户仍可通过控制台的VNC终端直接登录服务器修复规则，彻底解决了防火墙配置“锁死”服务器的痛点，配合酷番云提供的安全组功能，实现了“外层安全组防大流量攻击，内层iptables防应用层入侵”的双重纵深防御体系,成功保障了大促期间业务的零中断。

规则持久化与运维管理

iptables的规则默认存储在内存中，服务器重启后规则将丢失，对于生产环境，规则持久化是运维闭环的最后一步。

在CentOS/RHEL系统中，必须安装iptables-services并保存规则：

service iptables save
# 规则将保存至 /etc/sysconfig/iptables

对于Ubuntu/Debian系统，则推荐使用iptables-persistent工具，建议运维人员建立规则变更日志，每一次对生产环境防火墙的修改，都应记录原因与操作人，这符合E-E-A-T中关于可信度的要求,也是专业运维的体现。

相关问答模块

Q1：如果不小心把iptables的SSH端口DROP了，导致无法连接服务器怎么办？
A： 这是一个常见但严重的问题，如果使用的是物理服务器，通常需要进入机房通过单用户模式或IPMI修复，但如果您使用的是酷番云等主流云厂商的服务器，可以通过云控制台提供的“VNC远程连接”或“救援模式”功能登录服务器后台，执行iptables -F清空规则或重新插入放行规则即可恢复连接,这体现了云服务器在运维容错性上的优势。

Q2：iptables与云厂商提供的“安全组”有什么区别，是否冲突？
A： 两者不冲突，而是互补关系，安全组是云厂商提供的分布式防火墙，位于网络入口处，主要功能是流量清洗和粗粒度的端口过滤，性能损耗低，iptables是操作系统内核级的防火墙，功能更细致，可以进行深度包检测、速率限制和复杂逻辑判断。专业的做法是：安全组仅放行必要的业务端口（如80, 443, SSH），作为第一道防线；iptables在服务器内部进行更精细的访问控制（如限制特定IP访问数据库端口），作为第二道防线。

如果您在配置iptables规则时遇到疑难，或者在寻找更稳定、安全的云服务器环境来部署您的业务架构，欢迎在评论区留言探讨,或访问酷番云官网了解更多关于高防云服务器与安全运维解决方案的详情。