iptables是linux系统中基于netfilter框架的防火墙工具,通过配置规则可以实现对网络数据包的过滤、转发、地址转换等操作,添加规则是日常运维中调整防火墙策略的核心操作。
iptables规则的基本结构
iptables的规则由表、链、匹配条件、动作四个核心部分组成,添加规则前需要先明确这几个部分的作用:
- 表:iptables默认有filter、nat、mangle、raw四个表,最常用的是filter表,用于数据包过滤
- 链:每个表包含多个链,filter表的常用链有INPUT(入站数据包)、OUTPUT(出站数据包)、FORWARD(转发数据包)
- 匹配条件:指定规则生效的条件,比如协议类型、源IP、目标端口等
- 动作:匹配条件后执行的操作,常用动作有ACCEPT(允许)、DROP(丢弃)、REJECT(拒绝并回复)
添加iptables规则的常用命令
添加规则的基础命令格式为iptables -t 表名 -A/I 链名 匹配条件 -j 动作,其中-A表示在链的末尾追加规则,-I表示在链的开头插入规则。
场景1:开放指定端口
如果需要开放服务器的80端口供外部访问,可添加INPUT链的规则:
# 开放TCP协议的80端口,允许入站访问 iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
如果要同时开放UDP协议的53端口,命令如下:
# 开放UDP协议的53端口 iptables -A INPUT -p udp --dport 53 -j ACCEPT
场景2:限制指定IP访问
如果只允许192.168.1.100这个IP访问服务器的22端口,可添加如下规则:
# 允许指定IP访问22端口 iptables -I INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT # 拒绝其他IP访问22端口 iptables -A INPUT -p tcp --dport 22 -j DROP
场景3:禁止指定IP访问
如果要禁止10.0.0.50这个IP访问服务器所有端口,可添加规则:
# 禁止指定IP的所有入站请求 iptables -A INPUT -s 10.0.0.50 -j DROP
规则的查看与验证
添加规则后可以通过以下命令查看当前生效的规则:
# 查看filter表的所有规则,显示行号和详细信息 iptables -t filter -nvL --line-numbers
命令输出会展示每条规则的匹配次数、字节数、匹配条件和动作,可验证规则是否添加成功。
规则的永久保存
上述方式添加的规则是临时的,服务器重启后会丢失,需要根据linux发行版保存规则:
- CentOS/RHEL系统:使用
service iptables save命令,规则会保存到/etc/sysconfig/iptables文件 - Ubuntu/Debian系统:先安装iptables-persistent工具,执行
netfilter-persistent save命令保存规则
如果是手动保存,也可以将当前规则导出到文件:
# 导出当前iptables规则到指定文件 iptables-save > /etc/iptables.rules # 系统启动时恢复规则,可将恢复命令写入启动脚本 iptables-restore < /etc/iptables.rules
注意事项
添加规则时要注意顺序,iptables会按照链中规则的顺序依次匹配,匹配到第一条符合条件的规则就会执行对应动作,后续规则不再匹配。如果使用-A追加规则,要确保允许规则在拒绝规则之前,否则可能导致允许规则不生效。另外修改规则前建议先备份当前规则,避免配置错误导致无法远程连接服务器。