答案:构建严格iptables防火墙需设默认DROP策略,先允许lo接口及已建立连接,再按需开放SSH、HTTP等端口,限制出入站流量,防范常见攻击,并保存规则。
在 Linux 系统中,iptables 是一个强大且灵活的防火墙工具,能够精确控制进出系统的网络流量。要构建一个严格的安全策略,不能只依赖默认的 ACCEPT 规则,而应采用“默认拒绝、按需放行”的原则。以下是编写严格防火墙策略的核心步骤和最佳实践。
1. 设置默认策略为 DROP
最核心的原则是:默认丢弃所有未明确允许的流量。这能最大限度减少攻击面。
# 清空现有规则(谨慎操作,避免断开远程连接)iptables -F
iptables -X
# 设置默认策略:INPUT(入站)、OUTPUT(出站)、FORWARD(转发)全部 DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
注意:如果你通过 SSH 远程管理服务器,务必先放行 SSH 流量,否则会立即断连。
2. 允许本地回环通信
许多系统服务依赖本地 loopback 接口(127.0.0.1),必须显式放行。
# 允许 lo 接口上的所有流量iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
3. 允许已建立的连接通过
对于已经发起的合法连接(如你访问网站产生的响应),系统需要允许返回数据包进入。
# 放行与已建立或相关的连接流量iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
使用 conntrack 模块可准确识别连接状态,比旧的 `-m state` 更现代可靠。
4. 按需开放入站服务端口
只开放必要的服务,例如 SSH、HTTP/HTTPS。
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
# 允许 HTTP 和 HTTPS
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 443 --syn -j ACCEPT
使用 --syn 只匹配新连接的 SYN 包,防止伪造 ACK 包绕过检测。
5. 控制出站流量(最小化原则)
限制服务器主动发起的连接,防止被入侵后对外发起攻击或数据外泄。
# 允许 DNS 查询(TCP/UDP 53)iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
# 允许 NTP 时间同步
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
# 允许访问远程 Web 服务(更新、API 调用等)
iptables -A OUTPUT -p tcp --dport 80 --syn -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 --syn -j ACCEPT
可根据实际需求添加特定 IP 或域名对应的出站规则。
6. 防御常见攻击
加入一些基础防护规则,提升安全性。
# 防止 ping 洪水攻击(可选:完全禁 ping)iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# 封禁无效报文(如 SYN+FIN 包)
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# 防止 SYN Flood(结合 connlimit)
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 50 -j REJECT
7. 保存规则并设置开机生效
iptables 规则是临时的,重启后失效,必须持久化。
# Debian/Ubuntuapt install iptables-persistent
iptables-save > /etc/iptables/rules.v4
# CentOS/RHEL
service iptables save
或使用:/usr/libexec/iptables/iptables.init save
基本上就这些。一个严格的 iptables 策略关键在于:默认拒绝、细粒度控制、最小权限开放。定期审查规则、结合日志(dmesg 或 syslog)分析异常流量,能进一步提升系统安全性。
