iptables 防火墙基础概念

iptables 是 Linux 系统中一款强大的网络包过滤工具，属于 Netfilter 框架的一部分，用于管理数据包的进出规则。其核心功能包括：包过滤（基于源/目的IP、端口、协议等）、NAT（网络地址转换）（如端口转发、IP伪装）、数据包修改（如标记、限速）以及日志记录。这些功能使其成为服务器安全防护的首选工具之一。

为什么选择 iptables？

1. 灵活性：支持自定义规则链，可针对不同场景（如Web服务器、数据库）设计差异化策略。
2. 性能高效：直接操作内核级网络栈，资源占用低，适合高并发环境。
3. 开源免费：无需商业许可，社区支持完善。
4. 透明可控：所有规则可见可修改，避免黑盒式安全方案的风险。

iptables 核心组件解析

表（Tables）与链（Chains）

iptables 通过 表 和 链 组织规则，常见的表包括：

• filter 表：默认表，用于数据包过滤（ACCEPT/DROP/REJECT）。
• nat 表：处理地址转换（SNAT/DNAT/MASQUERADE）。
• mangle 表：修改数据包头信息（如TTL、TOS）。
• raw 表：标记数据包以跳过连接跟踪。

每个表包含若干 链，例如：

• INPUT 链：处理进入本机的数据包。
• OUTPUT 链：处理从本机发出的数据包。
• FORWARD 链：处理经过本机的转发的数据包。

规则匹配与动作

规则由 匹配条件 和 目标动作 组成。例如：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

• -A INPUT：追加规则到 INPUT 链。
• -p tcp：匹配 TCP 协议。
• --dport 22：匹配目标端口 22（SSH）。
• -j ACCEPT：动作是允许通过。

iptables 实际应用场景

场景1：基础防火墙配置

目标：仅允许 SSH（22）、HTTP（80）、HTTPS（443）访问，拒绝其他所有流量。

# 清空默认规则
iptables -F
iptables -X
# 设置默认策略为拒绝
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# 允许本地回环
iptables -A INPUT -i lo -j ACCEPT
# 允许已建立的连接
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# 允许 SSH、HTTP、HTTPS
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

说明：

1. -F 和 -X 清空现有规则和自定义链。
2. -P 设置默认策略（DROP 比 REJECT 更安全，避免暴露信息）。
3. conntrack 模块允许响应已建立的连接，避免服务中断。

场景2：NAT 与端口转发

目标：将外部访问 8080 端口的流量转发到内网服务器的 80 端口。

# 启用 IP 转发
echo 1 > /proc/sys/net/ipv4/ip_forward
# 配置 DNAT
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
# 配置 SNAT（确保返回包路径正确）
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 80 -j MASQUERADE

说明：

1. PREROUTING 链在路由前修改目标地址（DNAT）。
2. POSTROUTING 链在路由后修改源地址（SNAT/MASQUERADE）。
3. MASQUERADE 适用于动态 IP 环境（如拨号上网）。

场景3：防 DDoS 攻击

目标：限制单个 IP 的每秒新连接数。

# 安装 connlimit 模块（通常已内置）
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP

说明：

1. --connlimit-above 50 表示超过 50 个连接时丢弃。
2. 可结合 recent 模块实现更复杂的限速（如记录 IP 并临时封禁）。

高级功能与优化

规则持久化

iptables 规则默认重启后丢失，需通过以下方式保存：

# Debian/Ubuntu
apt install iptables-persistent
netfilter-persistent save
# CentOS/RHEL
service iptables save
# 或手动保存到 /etc/sysconfig/iptables

日志记录与监控

# 添加日志规则（记录被拒绝的包）
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTABLES DROP: " --log-level 4
iptables -A LOGGING -j DROP

说明：

1. -m limit 避免日志洪水。
2. 日志默认输出到 /var/log/kern.log，可通过 rsyslog 定向到单独文件。

性能优化技巧

1. 规则顺序：将高频匹配的规则（如允许 SSH）放在前面。
2. 禁用不必要的表：如无需 NAT，可卸载 nf_conntrack_ipv4 模块。
3. 使用 ipset：管理大量 IP 黑名单时，ipset 比多条规则更高效。

   ipset create blacklist hash:ip
   ipset add blacklist 192.168.1.100
   iptables -A INPUT -m set --match-set blacklist src -j DROP

常见问题与排查

规则不生效？

1. 检查表是否正确（如 NAT 规则需指定 -t nat）。
2. 确认链的默认策略（iptables -L 查看）。
3. 使用 iptables -t nat -L -n -v 查看详细统计信息。

配置错误导致无法连接？

1. 保留一个终端会话通过控制台直接操作。
2. 使用 iptables -t nat -F 清空 NAT 表规则快速恢复。

总结与最佳实践

1. 最小权限原则：默认拒绝所有流量，仅允许必要服务。
2. 定期审计：通过 iptables -L -n -v 检查规则匹配次数。
3. 备份规则：修改前保存当前配置。
4. 结合其他工具：如 fail2ban 动态封禁恶意 IP，ufw 简化管理。

iptables 的强大功能源于其灵活性，但这也要求管理员具备扎实的网络知识。建议从简单场景入手，逐步掌握表、链、匹配条件的组合，最终实现精细化的安全控制。