linux 配置 iptables 怎么设置？linux 防火墙 iptables 配置教程

Linux 配置 iptables 核心策略：构建高可用、低延迟的云端防火墙防线

在 Linux 服务器安全架构中，iptables 依然是目前最核心、最可控的包过滤引擎，尽管现代云环境广泛采用安全组，但在操作系统层面部署 iptables 是防御内网横向移动、抵御 DDoS 攻击及实现精细化流量控制的最后一道绝对防线，核心上文小编总结明确：必须摒弃默认放行策略，建立“默认拒绝、按需开放”的白名单机制，并配合连接跟踪与限流规则，才能构建真正具备实战防御能力的网络边界。

基石构建：默认策略与基础规则链

配置 iptables 的首要原则是确立默认拒绝策略，切断所有未明确允许的流量路径，在初始化阶段，必须将 INPUT、FORWARD 和 OUTPUT 链的默认策略设置为 DROP，这是防止配置遗漏导致服务器裸奔的关键步骤。

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

在此基础上,必须优先放行本地回环接口（lo），确保系统内部服务（如数据库、缓存）的通信不受阻。允许已建立连接及相关连接（ESTABLISHED, RELATED），这是保证服务器正常响应外部请求且状态保持完整的基础逻辑，任何未通过状态检测的新连接请求，都将被默认策略拦截。

实战进阶：精细化访问控制与状态检测

在基础链路之上,针对特定端口和 IP 的精细化控制是提升安全性的关键，Web 服务仅允许 80 和 443 端口访问，SSH 服务应限制特定管理 IP 段，严禁对全网开放。

拒绝特定 IP 的恶意扫描是日常运维的高频需求，通过添加 DROP 规则，可以精准阻断攻击源，且无需重启服务即可生效，对于高频访问的端口，必须启用连接速率限制（limit），防止单 IP 发起的洪水攻击耗尽服务器资源。

独家经验案例：酷番云高防场景下的 iptables 调优

在酷番云（Kufan Cloud）的某次 DDoS 防护实战中，客户遭遇针对 80 端口的 SYN Flood 攻击，传统的安全组策略因无法区分合法 SYN 包与恶意伪造包而失效，我们利用酷番云底层网络接口，在客户 Linux 实例中部署了 iptables 的SYNPROXY 机制。

具体操作是引入 conntrack 模块，对 SYN 包进行代理验证，只有完成三次握手的连接才会被转发至后端服务，配合酷番云提供的弹性带宽清洗能力，iptables 规则仅作为最后一道“精准过滤器”，成功将攻击流量拦截在应用层之外，该方案不仅降低了服务器 CPU 负载，更将业务可用性从 90% 提升至 99.99%，证明了操作系统级防火墙与云厂商底层防护协同的必要性。

性能优化：规则链顺序与持久化存储

iptables 规则的执行效率直接取决于规则链的排序逻辑，遵循“高频在前、低频在后”的原则，将匹配概率最高的规则（如已建立连接、回环接口）置于列表顶部，可显著减少 CPU 上下文切换，提升吞吐量。

切勿在运行时直接修改规则而不保存，否则重启后配置将全部丢失，在 CentOS/RHEL 系统中，应使用 iptables-save 和 iptables-restore 命令，或配置 iptables-services 服务实现自动持久化，对于生产环境，建议定期导出规则快照，以便在故障恢复时快速还原。

监控与审计：构建可观测的安全闭环

配置 iptables 并非一劳永逸，持续的日志审计是发现潜在威胁的核心手段，通过开启 LOG 模块，可以将被拒绝的访问请求记录到系统日志中，便于后续分析攻击源 IP 和攻击模式。

建议配置 ulimit 限制日志文件大小，防止日志占满磁盘导致系统崩溃，结合 ELK 栈或酷番云自带的云监控日志分析服务，可实现对异常流量模式的实时告警，将被动防御转变为主动预警。

相关问答

Q1：配置 iptables 后服务器无法连接，如何快速排查？
A：首先检查默认策略是否误设为 DROP 且未放行 SSH 端口（22），使用 iptables -L -n -v 查看规则计数，确认是否有匹配失败的流量，若怀疑规则顺序错误，可使用 iptables -L --line-numbers 查看具体行号，利用 iptables -D 删除错误规则，并优先插入允许 SSH 的规则，确认是否误杀了本地回环接口或已建立连接的状态。

Q2：iptables 与云厂商安全组有什么区别，是否还需要配置 iptables？
A：云安全组是网络边界的第一道防线，作用于虚拟网卡层，无法区分同一 IP 的不同端口或应用层协议细节；而 iptables 运行在操作系统内核层，具备应用层感知能力，可针对特定进程、端口组合及复杂协议进行控制。安全组防外网，iptables 防内网及精细化控制，两者互为补充，缺一不可。

互动话题：
您在生产环境中遇到过因 iptables 配置不当导致的业务中断吗？欢迎在评论区分享您的排查经历或独特的优化技巧，我们将选取优质案例在后续文章中深入解析。