如何在Linux服务器上配置IPtables规则？

一、IPtables基础概念

IPtables是Linux内核中内置的防火墙工具，通过定义规则来控制网络数据包的流动。它包含以下几个重要概念：

• 表(Table)：filter(默认)、nat、mangle和raw四种表
• 链(Chain)：INPUT、OUTPUT、FORWARD等预定义链
• 规则(Rule)：匹配条件和目标动作的组合
• 目标(Target)：ACCEPT、DROP、REJECT等处理动作

二、IPtables基本操作命令

# 查看当前规则
sudo iptables -L -n -v

# 清空所有规则
sudo iptables -F

# 保存规则(根据发行版不同)
sudo iptables-save > /etc/iptables.rules
或
sudo service iptables save

三、配置实战：搭建基础防火墙

1. 设置默认策略

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

这样设置可以确保只有明确允许的连接才能通过。

2. 允许已建立的连接

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

3. 开放必要的端口

# 允许SSH连接(端口22)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许HTTP/HTTPS
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

4. 允许本地回环

sudo iptables -A INPUT -i lo -j ACCEPT

四、高级配置技巧

1. 防止DDoS攻击

sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

2. 端口转发

sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

3. IP黑名单

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

五、常见问题解答

Q1：如何永久保存IPtables规则？

不同Linux发行版保存方式不同：

• Debian/Ubuntu：安装iptables-persistent包
• CentOS/RHEL：使用service iptables save命令

Q2：为什么我的规则重启后消失了？

因为没有将规则保存到持久化配置文件中。请参考Q1的解决方案。

Q3：如何查看特定规则的匹配次数？

sudo iptables -L -v -n --line-numbers

六、总结

IPtables是Linux服务器安全的重要防线。通过本文的讲解，您应该已经掌握了基本的配置方法和实用技巧。记住防火墙规则应该遵循"最小权限"原则，只开放必要的服务和端口。定期检查日志并根据实际情况调整规则，才能确保服务器长期安全稳定运行。