一、iptables基础与核心概念

iptables是Linux系统下基于Netfilter框架的命令行防火墙工具，通过定义规则链（Chain）和规则表（Table）实现流量过滤、NAT转换及包处理。其核心架构包含五张规则表（filter、nat、mangle、raw、security）和五条内置链（INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING）。

规则表功能对比：

• filter表：默认表，负责流量过滤（ACCEPT/DROP/REJECT）
• nat表：修改数据包源/目的地址（SNAT/DNAT/MASQUERADE）
• mangle表：修改包头信息（TTL、MARK等）
• raw表：标记数据包是否受连接跟踪影响
• security表：与MAC安全模块（如SELinux）交互

链匹配流程：数据包按顺序遍历链中的规则，匹配即执行动作并终止后续规则检查。例如，INPUT链处理进入本机的流量，FORWARD链处理经过本机的流量。

二、基础规则配置实战

1. 流量过滤规则

典型场景：禁止外部SSH暴力破解

# 添加规则：丢弃来自192.168.1.100的SSH连接
iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j DROP
# 允许已建立连接的SSH流量
iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT
# 限制新SSH连接速率（每分钟5次）
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 5 -j DROP

关键参数：

• -A：追加规则
• -s：指定源IP
• -p：协议类型
• --dport：目标端口
• -m state：匹配连接状态
• -m connlimit：限制并发连接数

2. NAT规则配置

场景1：内网服务器端口映射

# 将外部80端口转发到内网192.168.1.100的8080端口
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:8080
iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 8080 -j ACCEPT

场景2：内网设备共享上网

# 启用IP伪装（SNAT）
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# 允许内网设备访问外网
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

三、高级应用场景

1. 透明代理实现

通过iptables的TPROXY目标实现透明Squid代理：

# 启用TPROXY重定向
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3128
# 设置路由标记
ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

技术要点：需配合ip_forward内核参数和net.ipv4.conf.all.route_localnet=1设置。

2. 防DDoS攻击策略

动态限速规则：

# 限制单个IP每秒新建连接数
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 10 -j DROP
# 使用recent模块记录攻击IP
iptables -A INPUT -p tcp --dport 80 -m recent --name HTTP_ATTACK --set
iptables -A INPUT -p tcp --dport 80 -m recent --name HTTP_ATTACK --update --seconds 60 --hitcount 10 -j DROP

3. 流量统计与分析

场景：统计HTTP流量

# 创建自定义链统计HTTP流量
iptables -N HTTP_STATS
iptables -A INPUT -p tcp --dport 80 -j HTTP_STATS
iptables -A HTTP_STATS -j ACCEPT
iptables -A HTTP_STATS -m statistic --mode random --probability 0.01 -j LOG --log-prefix "HTTP_SAMPLE: "

通过iptables -L -v -n查看详细统计信息。

四、最佳实践与优化

1. 规则优化原则

• 顺序优先：将高频匹配规则放在链首
• 动作明确：优先使用ACCEPT/DROP，避免REJECT（可能暴露服务存在）
• 模块化设计：按功能划分自定义链（如-N WEB_FILTER）

2. 持久化配置

方法对比：

• iptables-save/restore：

  iptables-save > /etc/iptables.rules
  iptables-restore < /etc/iptables.rules

• systemd服务（Ubuntu示例）：

  [Unit]
  Description=iptables rules
  After=network.target
  [Service]
  Type=oneshot
  ExecStart=/sbin/iptables-restore /etc/iptables.rules
  RemainAfterExit=yes
  [Install]
  WantedBy=multi-user.target

3. 监控与维护

• 日志分析：

  # 记录被丢弃的流量
  iptables -A INPUT -j LOG --log-prefix "DROPPED: "
  # 查看日志
  journalctl -u iptables -f | grep "DROPPED"

• 定期清理：使用iptables -F清空规则前建议先保存配置

五、常见问题解决方案

1. 规则不生效：

   • 检查链顺序：iptables -L --line-numbers
   • 确认表类型：-t nat等参数是否遗漏
   • 验证内核模块：lsmod | grep ip_tables

2. 连接跟踪表溢出：

   • 调整net.nf_conntrack_max参数
   • 缩短连接超时时间：echo 300 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

3. 性能瓶颈：

   • 启用ip_conntrack快速路径
   • 使用xtables-addons的geoip模块减少规则数量

六、总结与展望

iptables作为Linux防火墙的核心组件，其灵活性体现在规则链的深度定制能力上。现代应用中，建议结合nftables（iptables的继任者）进行迁移，但现有系统仍需掌握iptables的维护技能。对于云环境，可考虑将iptables规则与安全组策略联动，构建多层次防御体系。

进阶建议：

1. 学习ebtables实现二层防火墙
2. 探索ipset管理大规模IP黑名单
3. 结合Fail2ban实现自动封禁

通过系统化的规则设计和持续优化，iptables能够为企业提供高效、可靠的网络边界防护解决方案。