CentOS 中 iptables 的作用与定位
在 CentOS 上,iptables 是用户空间的管理工具,用来配置内核 Netfilter 的包过滤与 NAT 规则,实现对网络数据包的过滤、转发、地址转换与策略控制。它可基于源/目的 IP、端口、协议、接口、连接状态等条件进行匹配,并执行 ACCEPT/DROP/REJECT 等动作;规则按“表(tables)—链(chains)”组织,匹配自上而下逐条检查,顺序至关重要。典型报文路径为:入站 PREROUTING → INPUT,出站 OUTPUT → POSTROUTING,转发 PREROUTING → FORWARD → POSTROUTING。
核心功能与典型场景
- 主机防火墙与访问控制:在 filter 表 的 INPUT/OUTPUT 链上按 IP、端口、协议限制访问,例如仅允许指定来源访问 SSH(22) 或 HTTP(80)。规则顺序建议“先放行必要流量,再默认丢弃”。
- 地址转换与端口映射:在 nat 表 的 PREROUTING/POSTROUTING 实现 SNAT/DNAT/MASQUERADE,用于共享上网、将外网访问映射到内网服务(如 80→8080)。
- 流量转发与网关:在 FORWARD 链配合策略路由/NAT,实现简单的路由转发与网关功能。
- 报文标记与策略分流:在 mangle 表 调整 TOS/TTL/MARK 等元数据,用于 QoS 或后续策略匹配。
- 连接跟踪与状态控制:结合状态扩展(如 conntrack)放行已建立的会话,仅对“新连接”严格校验,提高安全性与可用性。
以上能力覆盖主机防护、NAT/端口转发、转发网关、流量整形与状态化访问控制等常见场景。
基本组成与工作流程
- 四表:
- filter(过滤,默认表):INPUT/OUTPUT/FORWARD
- nat(地址转换):PREROUTING/INPUT/OUTPUT/POSTROUTING
- mangle(报文修改):PREROUTING/INPUT/FORWARD/OUTPUT/POSTROUTING
- raw(连接追踪豁免):PREROUTING/OUTPUT
- 五链:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING
- 优先级:RAW → MANGLE → NAT → FILTER
- 典型路径:
- 流入本机:PREROUTING → INPUT → 用户空间
- 流出本机:用户空间 → OUTPUT → POSTROUTING
- 转发:PREROUTING → FORWARD → POSTROUTING
理解表/链与报文路径,是正确编写与排错 iptables 规则的前提。
在 CentOS 7 的使用提示
- 服务形态:CentOS 7 默认使用 firewalld 管理服务;如需直接使用 iptables,可停止/屏蔽 firewalld 并按需安装/启用 iptables 服务。
- 规则持久化:iptables 规则默认即时生效但不持久。常见做法:
- RHEL/CentOS 系常用 service iptables save 写入 /etc/sysconfig/iptables;
- 或使用 iptables-save > /etc/iptables/rules.v4 进行保存,并在启动流程中恢复。
- 操作要点:规则自上而下匹配,务必在“默认丢弃”策略前明确放行管理口(如 SSH 22)与必要业务端口;变更前先备份,变更后及时验证与保存。