1. Iptables 基础概念与工作原理第一次接触Iptables时我被它复杂的规则链和表结构搞得晕头转向。直到有一次服务器被恶意扫描才真正意识到这个工具的重要性。Iptables本质上是一个配置Linux内核防火墙的工具它通过规则链chains和表tables来管理网络流量。想象一下Iptables就像机场的安检系统。每个数据包都是旅客需要经过多个检查点规则链。PREROUTING是入境检查INPUT是登机口安检FORWARD是转机通道OUTPUT是出境检查POSTROUTING则是最后的行李托运。每个检查点都有不同的安检规则规则链决定哪些旅客可以通行。Iptables最常用的三个表是filter表负责过滤数据包包含INPUT、OUTPUT和FORWARD链nat表处理网络地址转换包含PREROUTING和POSTROUTING链mangle表用于特殊的数据包修改新手最容易混淆的是规则匹配顺序。我刚开始配置时经常把拒绝规则放在允许规则前面导致所有流量都被阻断。后来发现规则是从上到下逐条匹配的就像机场安检的VIP通道和普通通道必须把VIP检查点放在前面。2. 基础命令实战操作2.1 规则查看与管理刚开始使用Iptables时我习惯先用-L参数查看现有规则。这个命令有个实用技巧加上-v参数可以显示更详细的信息加上-n可以避免DNS反向解析加快显示速度。iptables -L -nv清空规则链时要注意单纯的-F只会清空当前表的规则。有次我误以为清空了所有规则结果nat表的规则还在生效。更安全的做法是指定表名iptables -t filter -F iptables -t nat -F iptables -t mangle -F2.2 默认策略设置设置默认策略是个危险操作我有次在远程服务器上执行iptables -P INPUT DROP结果把自己锁在外面。现在我会先用-I插入一条放行SSH的规则iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -P INPUT DROP重要经验默认策略应该设为DROP但一定要先确保关键服务如SSH的访问规则已经配置好。生产环境中我通常会准备一个定时任务5分钟后自动恢复默认策略防止配置错误导致的管理中断。3. 常见流量控制实战3.1 端口访问控制管理服务器端口就像管理大楼的门禁。上周我遇到一个案例某台测试服务器的Redis端口暴露在公网导致被入侵。通过Iptables可以快速封禁非授权访问# 只允许内网访问Redis iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 6379 -j ACCEPT iptables -A INPUT -p tcp --dport 6379 -j DROP对于Web服务器我通常会用更精细的控制# 允许HTTP/HTTPS iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 限制连接频率防止CC攻击 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP iptables -I INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT3.2 IP地址过滤有次我们的网站遭到某个IP段的扫描攻击用Iptables快速封禁了整个网段iptables -I INPUT -s 123.45.67.0/24 -j DROP但要注意不要误封CDN或合作伙伴的IP。更好的做法是结合IPset管理黑名单ipset create blacklist hash:net ipset add blacklist 123.45.67.89 iptables -I INPUT -m set --match-set blacklist src -j DROP4. 高级规则配置技巧4.1 状态检测与连接跟踪Iptables最强大的功能之一是状态检测。通过-m state模块可以识别已建立的连接大幅提高规则效率iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT这意味着只要初始连接被允许后续的通信都会自动放行。在实际部署中我通常会把这条规则放在INPUT链的最前面可以显著减少后续规则的匹配压力。4.2 网络地址转换(NAT)做NAT转发时PREROUTING和POSTROUTING经常让人困惑。简单来说PREROUTING改变数据包到达时的目标地址DNATPOSTROUTING改变数据包发出时的源地址SNAT典型的端口转发配置iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:8080 iptables -t nat -A POSTROUTING -j MASQUERADE我遇到过一个典型问题配置了DNAT但忘记开启ip_forward导致转发不成功。解决方法echo 1 /proc/sys/net/ipv4/ip_forward4.3 日志记录与监控调试复杂规则时LOG目标非常有用。我曾经用它找出一个隐蔽的端口扫描iptables -I INPUT -p tcp --dport 22 -m limit --limit 5/min -j LOG --log-prefix SSH连接尝试: 日志会输出到/var/log/messages或/var/log/kern.log可以通过dmesg命令查看。在生产环境中我会限制日志频率避免磁盘被写满。5. 规则优化与持久化5.1 规则排序优化Iptables规则的顺序直接影响性能。经过多次测试我发现这样的排序效率最高放行ESTABLISHED,RELATED状态的规则拒绝明显恶意流量的规则如私有地址伪造常用服务的放行规则SSH,HTTP等其他自定义规则最后的默认拒绝策略一个常见的错误是把频繁匹配的规则放在太靠后的位置。比如Web服务器把HTTP规则放在第20条意味着每个HTTP请求都要先检查前面的19条规则。5.2 配置持久化Iptables规则默认重启后丢失。我吃过几次亏后现在都会立即保存规则iptables-save /etc/iptables.rules对于不同发行版恢复方法略有差异Debian/Ubuntu:iptables-restore /etc/iptables.rulesRHEL/CentOS 7: 安装iptables-services包后使用systemctl enable iptables更可靠的做法是创建pre-up脚本#!/bin/sh iptables-restore /etc/iptables.rules exit 0保存为/etc/network/if-pre-up.d/iptables并赋予执行权限。6. 常见问题排查遇到Iptables不按预期工作时我的排查步骤是确认规则加载顺序iptables -L -n --line-numbers检查规则计数iptables -L -nv查看内核日志dmesg | grep iptables使用tcpdump抓包验证tcpdump -i eth0 port 80有次客户报告SSH连接被拒绝但规则明明已经放行。最后发现是连接跟踪表满了echo 1000000 /proc/sys/net/netfilter/nf_conntrack_max另一个常见问题是规则太多导致性能下降。解决方案是合并相似规则使用IPset管理大量IP启用连接跟踪减少规则匹配次数