iptables 是 Linux 中基于 netfilter 的底层包过滤工具,通过 INPUT、OUTPUT、FORWARD 链按序匹配规则,支持端口、IP、状态等条件,规则需手动保存才能持久化,顺序与状态处理是关键。
iptables 是 Linux 系统中最经典、最底层的包过滤 防火墙 工具,它直接与内核的 netfilter 框架交互,用于定义网络数据包的处理规则。虽然现在有 nftables 作为替代方案,但大量生产环境和脚本仍在使用 iptables,掌握其原理和常用操作非常实用。
iptables 的基本结构和工作逻辑
iptables 不是一个服务,而是一个用户态命令行工具,用来配置内核中的规则链(chains)。数据包在经过网络 栈时,会按顺序经过若干预定义的链(如 INPUT、OUTPUT、FORWARD),每条链上可挂载多条规则(rules),规则按顺序逐条匹配,一旦匹配成功就执行对应动作(如 ACCEPT、DROP、REJECT),后续规则不再检查。
主要内置链:
- INPUT:处理目标地址是本机的数据包(进来的流量)
- OUTPUT:处理从本机发出的数据包(出去的流量)
- FORWARD:处理经本机转发的数据包(非本机收发,仅中转)
每条规则由“匹配条件”+“目标动作”组成。常见匹配条件包括源 / 目的 IP、端口、协议(TCP/UDP/ICMP)、状态(NEW/ESTABLISHED/RELATED)等。
常用规则设置与实际示例
添加规则前建议先查看当前策略和规则:
- iptables -L -n -v:列出所有规则(-n 禁用 DNS 反查,-v 显示详细统计)
- iptables -S:以规则语法形式显示所有规则,适合备份或脚本参考
典型操作示例:
- 允许本机访问 22 端口(SSH 入站):iptables -A INPUT -p tcp –dport 22 -j ACCEPT
- 拒绝来自某 IP 的所有连接:iptables -A INPUT -s 192.168.1.100 -j DROP
- 只允许已建立或相关的连接通过(配合前面的 ACCEPT 规则使用):iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
- 默认拒绝所有 INPUT 流量(常放在最后):iptables -P INPUT DROP
注意:-A 表示追加到链尾,-I 表示插入到链首(如 -I INPUT 1);规则顺序很重要,靠前的规则优先匹配。
保存与持久化规则
iptables 规则默认只存在于内存中,系统重启后丢失。要让规则开机生效,需手动保存并配置自动加载:
- Debian/Ubuntu 系统:iptables-save > /etc/iptables/rules.v4,再确保 iptables-persistent 包已安装并启用
- RHEL/CentOS 7 及以前:service iptables save(规则存入 /etc/sysconfig/iptables)
- RHEL/CentOS 8+ 默认使用 nftables,若仍用 iptables,可通过 iptables-save > /etc/sysconfig/iptables 并启用 iptables-services
不保存直接重启,所有自定义规则都会失效——这点极易被忽略。
调试与排错要点
规则不生效?常见原因包括:
- 规则顺序错误(如 DROP 放在 ACCEPT 前面)
- 协议或端口写错(比如用 -p udp 但匹配了 tcp 端口)
- 未考虑连接状态(缺少 ESTABLISHED 规则导致响应包被拦)
- FORWARD 链未配置(做网关或 Docker 主机时容易漏)
- SELinux 或其他安全模块干扰(较少见,但需排查)
调试技巧:
- 用 tcpdump 或 wireshark 抓包确认数据是否到达本机
- 用 iptables -L -n -v 查看对应规则的匹配包计数是否增长
- 临时清空规则测试:iptables -F(慎用!建议先保存)
基本上就这些。iptables 规则不复杂,但细节决定成败,关键是理解链、顺序、状态和持久化四个核心点。
