Linux如何使用iptables配置防火墙规则

iptables是Linux防火墙工具，用于配置netfilter实现包过滤和NAT；通过iptables -L -n -v查看规则，-A添加规则允许回环、已建立连接及开放SSH/HTTP/HTTPS端口，设置默认DROP策略，可拒绝特定IP或端口访问，需用service iptables save或iptables-save保存规则以防重启丢失。

Linux系统中，iptables 是一个强大的防火墙工具，用于配置内核中的netfilter模块，实现数据包过滤、网络地址转换（NAT）等功能。通过合理设置iptables规则，可以有效保护服务器安全。以下是配置iptables防火墙规则的基本方法和常用操作。

查看当前防火墙规则

在修改规则前，先查看当前生效的规则：

iptables -L -n -v

参数说明：

• -L：列出规则
• -n：以数字形式显示IP和端口
• -v：显示详细信息

若需查看特定链（如INPUT、OUTPUT、FORWARD）的规则，可加上链名：

iptables -L INPUT -n -v

添加基本访问规则

常用操作是允许或拒绝特定端口的访问。以下是一些典型示例：

允许本地回环接口通信（必要）：

iptables -A INPUT -i lo -j ACCEPT

允许已建立的连接通过（保证已有会话不被阻断）：

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

开放常用服务端口：

• SSH（默认端口22）：

  iptables -A INPUT -p tcp --dport 22 -j ACCEPT

  登录后复制
• HTTP（80端口）：

  iptables -A INPUT -p tcp --dport 80 -j ACCEPT

  登录后复制
• HTTPS（443端口）：

  iptables -A INPUT -p tcp --dport 443 -j ACCEPT

  登录后复制

拒绝或丢弃非法请求

默认策略通常设置为DROP或REJECT，增强安全性。

设置默认策略：

琅琅配音

全能AI配音神器

208

查看详情

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

拒绝特定IP访问：

iptables -A INPUT -s 192.168.1.100 -j DROP

阻止某个IP连接特定端口：

iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j REJECT

保存和恢复规则

iptables规则默认在重启后丢失，需手动保存。

在CentOS/RHEL系统中：

service iptables save

或使用：

iptables-save > /etc/iptables/rules.v4

恢复规则：

iptables-restore < /etc/iptables/rules.v4

Debian/Ubuntu系统建议安装 iptables-persistent 包自动保存规则。

基本上就这些。掌握iptables的核心在于理解链（chain）、表（table）、匹配条件和动作（ACCEPT、DROP等）。规则顺序很重要，靠前的规则优先匹配。配置时注意不要将自己锁在SSH之外，建议在本地或有备用访问方式下操作。

以上就是Linux如何使用iptables配置防火墙规则的详细内容，更多请关注php中文网其它相关文章！