Linux系统下iptables防火墙配置完全指南

一、iptables基础概念

iptables是Linux内核集成的防火墙工具，它通过定义规则来控制网络数据包的流动。理解以下几个核心概念至关重要：

• 表(Tables)：filter(默认)、nat、mangle等
• 链(Chains)：INPUT、OUTPUT、FORWARD
• 规则(Rules)：匹配条件和目标动作
• 目标(Targets)：ACCEPT、DROP、REJECT等

二、iptables基本命令语法

iptables [-t 表名] 命令选项 [链名] [规则匹配] [目标动作]

三、配置iptables防火墙的详细步骤

1. 查看现有规则

iptables -L -n -v

2. 设置默认策略

建议将默认策略设为DROP：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

3. 允许本地回环接口

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

4. 允许已建立的连接

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

5. 开放必要的端口

例如开放SSH(22)、HTTP(80)、HTTPS(443)：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

6. 允许ICMP(ping)

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

7. 启用IP转发(如果需要)

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

四、高级配置技巧

1. 防止DDoS攻击

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

2. 端口转发

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

3. 基于MAC地址的过滤

iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j ACCEPT

五、保存和恢复iptables规则

1. 保存规则

iptables-save > /etc/iptables.rules

2. 开机自动加载

编辑/etc/network/interfaces添加：

pre-up iptables-restore < /etc/iptables.rules

六、常见问题解答

Q: 如何删除某条规则？

A: 先使用iptables -L --line-numbers查看规则编号，然后使用iptables -D 链名 编号删除

Q: 如何完全清空所有规则？

A: 使用iptables -F命令清空所有规则

Q: 如何查看NAT表规则？

A: 使用iptables -t nat -L -n -v命令