配置linux iptables，linux iptables怎么配置

在Linux服务器安全防护体系中，iptables是构建第一道防线的核心组件，尽管现代云环境广泛使用云厂商的安全组，但本地iptables规则与云安全组的协同配置仍是抵御端口扫描、暴力破解及DDoS攻击的关键手段，核心上文小编总结在于：不要完全依赖云安全组，必须在操作系统内部部署细粒度的iptables策略，遵循“默认拒绝入站、允许已知服务、精准放行IP”的原则，以实现纵深防御。

核心策略：构建最小化信任边界

iptables配置的首要原则是最小权限原则，许多管理员习惯性地开放所有端口以便调试，这极大地增加了服务器被入侵的风险，正确的做法是初始化策略时，将INPUT链（入站流量）默认设置为DROP（丢弃），OUTPUT链（出站流量）设置为ACCEPT（允许）,FORWARD链设置为DROP。

# 清空现有规则
iptables -F
iptables -X
# 设置默认策略：拒绝所有入站，允许所有出站
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

这种配置确保了只有明确放行的端口才能被访问，任何未授权的连接尝试将在内核层面被直接丢弃，而非返回拒绝响应，从而有效隐藏服务器端口信息,增加攻击者的探测成本。

关键服务放行与状态检测

在默认拒绝的基础上，必须允许必要的系统服务通信，Linux网络栈依赖于TCP的状态机，因此必须配置状态检测规则，以允许已建立连接及相关连接的流量通过,这是保证SSH等长连接服务稳定性的基础。

1. 允许回环接口：本地进程间通信（如MySQL连接localhost）必须通过lo接口。
2. 允许已建立连接：这是最关键的一步，确保服务器响应客户端请求时,返回的数据包不会被默认拒绝策略拦截。
3. 放行特定端口：仅开放Web服务（80/443）和SSH（22）。

# 允许回环接口
iptables -A INPUT -i lo -j ACCEPT
# 允许已建立连接及相关连接（状态检测）
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许SSH连接（建议限制特定IP段，见下文进阶策略）
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 允许HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

进阶防护：防暴力破解与精准IP控制

针对SSH等高危端口，单纯开放端口是远远不够的，结合fail2ban工具与iptables，可以有效遏制暴力破解攻击，对于管理性操作,应严格限制源IP地址。

• SSH限流策略：使用recent模块限制单位时间内的连接次数。
• IP白名单机制：对于运维人员,建议仅允许公司出口IP或特定管理IP访问SSH端口。

# 限制SSH每秒最多2个新连接，超过则丢弃
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SSH -j DROP

独家经验案例：酷番云高防场景下的iptables实践
在酷番云的高防服务器部署场景中，我们观察到许多客户误以为开启了云WAF就不需要配置本地防火墙，当遭受大规模CC攻击时，云WAF虽然能过滤恶意请求，但正常的HTTP请求仍会穿透到后端服务器，消耗大量CPU和内存资源，通过在酷番云实例内部配置iptables，我们可以在操作系统内核层直接丢弃来自异常IP段的请求，显著减轻后端应用层的压力，我们曾协助某电商客户在酷番云裸金属服务器上配置了基于连接数的iptables限流规则，将CPU峰值负载降低了40%，验证了“云原生+本地内核”双重防护的有效性。

规则持久化与审计

Linux重启后，iptables规则默认会丢失。必须将当前规则保存并设置为开机自动加载，不同发行版命令略有差异，Debian/Ubuntu使用iptables-persistent，CentOS/RHEL使用iptables-save配合systemd服务。

# Ubuntu/Debian
apt-get install iptables-persistent
netfilter-persistent save
# CentOS/RHEL
service iptables save

定期审计日志也是不可或缺的一环，通过查看/var/log/syslog或/var/log/messages，监控被DROP的包数量,可以及时发现潜在的扫描行为或配置错误。

相关问答模块

Q1: 配置iptables后，如果误封了自己的IP导致无法SSH连接，该如何恢复？
A: 如果服务器位于本地机房，可通过控制台VNC登录进行修复，若使用云服务器（如酷番云），通常控制台提供“重置密码”或“远程终端”功能，这些功能往往绕过iptables规则或通过底层通道访问，若完全失联，最稳妥的方法是联系云服务商技术支持，通过后台强制重启并进入单用户模式修改配置,或挂载数据盘到另一台正常服务器进行文件修改。

Q2: iptables与firewalld有什么区别？应该选择哪一个？
A: iptables是底层的包过滤工具，直接操作内核Netfilter框架，性能极高但配置复杂，规则需手动维护，firewalld是iptables的前端管理工具，基于zone概念，支持动态更新规则而无需重启服务，更适合桌面环境或需要频繁调整策略的场景，对于高性能服务器，建议直接使用iptables或nftables以获得更细粒度的控制和更低的开销；对于普通VPS,firewalld提供了更好的易用性。

互动环节
您在配置Linux防火墙时是否遇到过“配置了规则却连不上”的尴尬情况？欢迎在评论区分享您的排查经历，我们将选取典型案例进行深度解析，如果您正在寻找更稳定的云基础设施体验，酷番云提供高可用、低延迟的云服务器产品,助您轻松应对复杂网络环境。