Linux防火墙iptables解析_Linux手动设置流量规则讲解

iptables 是 Linux 中基于 netfilter 的底层包过滤工具，通过 INPUT、OUTPUT、FORWARD 链按序匹配规则，支持端口、IP、状态等条件，规则需手动保存才能持久化，顺序与状态处理是关键。

iptables 是 Linux 系统中最经典、最底层的包过滤防火墙工具，它直接与内核的 netfilter 框架交互，用于定义网络数据包的处理规则。虽然现在有 nftables 作为替代方案，但大量生产环境和脚本仍在使用 iptables，掌握其原理和常用操作非常实用。

iptables 的基本结构和工作逻辑

iptables 不是一个服务，而是一个用户态命令行工具，用来配置内核中的规则链（chains）。数据包在经过网络栈时，会按顺序经过若干预定义的链（如 INPUT、OUTPUT、FORWARD），每条链上可挂载多条规则（rules），规则按顺序逐条匹配，一旦匹配成功就执行对应动作（如 ACCEPT、DROP、REJECT），后续规则不再检查。

主要内置链：

• INPUT：处理目标地址是本机的数据包（进来的流量）
• OUTPUT：处理从本机发出的数据包（出去的流量）
• FORWARD：处理经本机转发的数据包（非本机收发，仅中转）

每条规则由“匹配条件”+“目标动作”组成。常见匹配条件包括源/目的 IP、端口、协议（TCP/UDP/ICMP）、状态（NEW/ESTABLISHED/RELATED）等。

常用规则设置与实际示例

添加规则前建议先查看当前策略和规则：

• iptables -L -n -v：列出所有规则（-n 禁用 DNS 反查，-v 显示详细统计）
• iptables -S：以规则语法形式显示所有规则，适合备份或脚本参考

典型操作示例：

• 允许本机访问 22 端口（SSH 入站）：iptables -A INPUT -p tcp --dport 22 -j ACCEPT
• 拒绝来自某 IP 的所有连接：iptables -A INPUT -s 192.168.1.100 -j DROP
• 只允许已建立或相关的连接通过（配合前面的 ACCEPT 规则使用）：iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
• 默认拒绝所有 INPUT 流量（常放在最后）：iptables -P INPUT DROP

注意：-A 表示追加到链尾，-I 表示插入到链首（如 -I INPUT 1）；规则顺序很重要，靠前的规则优先匹配。

Quicktools Background Remover

Picsart推出的图片背景移除工具

31

查看详情

保存与持久化规则

iptables 规则默认只存在于内存中，系统重启后丢失。要让规则开机生效，需手动保存并配置自动加载：

• Debian/Ubuntu 系统：iptables-save > /etc/iptables/rules.v4，再确保 iptables-persistent 包已安装并启用
• RHEL/CentOS 7 及以前：service iptables save（规则存入 /etc/sysconfig/iptables）
• RHEL/CentOS 8+ 默认使用 nftables，若仍用 iptables，可通过 iptables-save > /etc/sysconfig/iptables 并启用 iptables-services

不保存直接重启，所有自定义规则都会失效——这点极易被忽略。

调试与排错要点

规则不生效？常见原因包括：

• 规则顺序错误（如 DROP 放在 ACCEPT 前面）
• 协议或端口写错（比如用 -p udp 但匹配了 tcp 端口）
• 未考虑连接状态（缺少 ESTABLISHED 规则导致响应包被拦）
• FORWARD 链未配置（做网关或 Docker 主机时容易漏）
• SELinux 或其他安全模块干扰（较少见，但需排查）

调试技巧：

• 用 tcpdump 或 wireshark 抓包确认数据是否到达本机
• 用 iptables -L -n -v 查看对应规则的匹配包计数是否增长
• 临时清空规则测试：iptables -F（慎用！建议先保存）

基本上就这些。iptables 规则不复杂，但细节决定成败，关键是理解链、顺序、状态和持久化四个核心点。

以上就是Linux防火墙iptables解析_Linux手动设置流量规则讲解的详细内容，更多请关注php中文网其它相关文章！