IPTables防火墙怎么用

# IPTables防火墙怎么用

## 目录
1. [IPTables简介](#iptables简介)
2. [基本概念与术语](#基本概念与术语)
3. [安装与启动](#安装与启动)
4. [基础规则配置](#基础规则配置)
5. [高级应用场景](#高级应用场景)
6. [规则持久化](#规则持久化)
7. [常见问题排查](#常见问题排查)
8. [安全最佳实践](#安全最佳实践)

---

## IPTables简介
Linux内核内置的包过滤框架，作为Netfilter项目的用户空间工具，提供：
- 网络地址转换(NAT)
- 数据包过滤
- 状态跟踪
- 流量控制等核心功能

**典型应用场景**：
- 服务器安全防护
- 网络边界控制
- 端口转发服务
- DDoS基础防护

---

## 基本概念与术语
### 规则链（Chains）
| 内置链 | 作用时机 |
|--------|----------|
| INPUT   | 目标为本机的数据包 |
| OUTPUT  | 本机发出的数据包 |
| FORWARD | 经过本机转发的数据包 |
| PREROUTING | 路由决策前 |
| POSTROUTING | 路由决策后 |

### 表（Tables）
```bash
filter表（默认）：包含INPUT/OUTPUT/FORWARD链
nat表：用于地址转换（PREROUTING/POSTROUTING）
mangle表：特殊包修改（TTL/TOS等）
raw表：连接跟踪豁免

匹配条件

• 协议类型（-p tcp/udp/icmp）
• 端口号（–dport/–sport）
• 源/目标IP（-s/-d）
• 网络接口（-i eth0/-o wlan0）
• 连接状态（-m state –state NEW,ESTABLISHED）

动作（Targets）

ACCEPT：允许通过
DROP：静默丢弃
REJECT：拒绝并返回错误
LOG：记录日志
SNAT/DNAT：地址转换

---

安装与启动

主流发行版安装

# Debian/Ubuntu
sudo apt install iptables

# RHEL/CentOS
sudo yum install iptables-services

# 现代系统可能需安装兼容层
sudo apt install iptables-legacy

服务管理

# 传统SysVinit系统
sudo service iptables start
sudo service iptables save

# systemd系统
sudo systemctl enable iptables
sudo systemctl start iptables

内核模块检查

lsmod | grep ip_tables
modprobe ip_tables

---

基础规则配置

查看当前规则

iptables -L -n -v  # 详细模式查看
iptables -t nat -L # 查看NAT表

清空现有规则

iptables -F
iptables -t nat -F
iptables -X  # 删除自定义链

默认策略设置

iptables -P INPUT DROP    # 默认拒绝所有入站
iptables -P OUTPUT ACCEPT # 允许所有出站
iptables -P FORWARD DROP  # 禁止转发

基础规则示例

# 允许本地回环
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 开放SSH端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许PING
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

# 限速HTTP连接（每秒3个新连接）
iptables -A INPUT -p tcp --dport 80 -m limit --limit 3/second -j ACCEPT

---

高级应用场景

端口转发（DNAT）

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
iptables -t nat -A POSTROUTING -j MASQUERADE

源地址转换（SNAT）

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 203.0.113.5

防止SYN洪水攻击

iptables -N SYN_FLOOD
iptables -A SYN_FLOOD -m limit --limit 10/s --limit-burst 20 -j RETURN
iptables -A SYN_FLOOD -j DROP
iptables -A INPUT -p tcp --syn -j SYN_FLOOD

按时间控制规则

iptables -A INPUT -p tcp --dport 22 -m time --timestart 09:00 --timestop 17:00 -j ACCEPT

---

规则持久化

传统保存方式

iptables-save > /etc/iptables.rules
iptables-restore < /etc/iptables.rules

systemd系统推荐

# 安装持久化工具
sudo apt install iptables-persistent

# 保存规则
sudo netfilter-persistent save

开机自动加载

echo "iptables-restore < /etc/iptables.rules" >> /etc/rc.local
chmod +x /etc/rc.local

---

常见问题排查

调试流程

1. 检查规则顺序：iptables -L -n --line-numbers
2. 查看丢包统计：iptables -L -v
3. 开启日志记录：

   
   iptables -A INPUT -j LOG --log-prefix "[IPTABLES-DENY] "
   tail -f /var/log/syslog
   

典型错误

# 错误：忘记允许ESTABLISHED状态
# 现象：能ping出但收不到回复
# 解决：添加状态规则

# 错误：NAT规则未启用IP转发
# 解决：
echo 1 > /proc/sys/net/ipv4/ip_forward

---

安全最佳实践

1. 最小权限原则：只开放必要端口

2. 日志监控：记录所有DROP/REJECT操作

3. 防御措施：

   • 限制ICMP速率
   • 防范端口扫描
   • 阻止异常TTL包

4. 定期审计：

   # 对比当前规则与保存规则
   diff <(iptables-save) <(cat /etc/iptables.rules)
   

5. 组合使用：与fail2ban联动实现动态封禁

提示：生产环境建议先通过iptables -P INPUT ACCEPT设置临时宽松策略，测试完成后再改为严格模式。

---

扩展阅读

• Netfilter官方文档
• IPTables Man Page
• Linux防火墙深度指南

”`

注：实际使用时可根据需要调整各章节深度，本文档已包含基础到进阶的核心知识点，完整展开每个示例可达3500字左右。