掌握Linux网络路由过滤（从零开始的iptables实战指南）

为什么需要路由过滤？

• 防止未授权访问（如阻止恶意IP）
• 控制服务端口的开放范围（例如只允许特定IP访问SSH）
• 实现NAT（网络地址转换）
• 提升整体网络安全配置水平

准备工作：确认iptables是否安装

大多数Linux发行版默认已安装iptables。你可以通过以下命令检查：

$ sudo iptables --version

如果未安装，在Ubuntu/Debian上可运行：

$ sudo apt update && sudo apt install iptables

在CentOS/RHEL上：

$ sudo yum install iptables

iptables基础结构

iptables有三个核心概念：

1. 表（Tables）：如filter（默认）、nat、mangle等
2. 链（Chains）：如INPUT（入站）、OUTPUT（出站）、FORWARD（转发）
3. 规则（Rules）：定义匹配条件和动作（如ACCEPT、DROP）

实战：设置基本防火墙规则

假设你有一台Web服务器，只希望开放80（HTTP）和22（SSH）端口，并拒绝其他所有连接。

首先，清空现有规则（谨慎操作！）：

$ sudo iptables -F

然后设置默认策略为DROP（拒绝所有）：

$ sudo iptables -P INPUT DROP$ sudo iptables -P FORWARD DROP$ sudo iptables -P OUTPUT ACCEPT

允许本地回环（loopback）通信：

$ sudo iptables -A INPUT -i lo -j ACCEPT

允许已建立的连接返回数据：

$ sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

开放SSH（22端口）和HTTP（80端口）：

$ sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT$ sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

查看当前规则：

$ sudo iptables -L -n -v

保存规则（持久化）

重启后规则会丢失，因此需要保存：

Ubuntu/Debian：

$ sudo iptables-save > /etc/iptables/rules.v4

CentOS/RHEL：

$ sudo service iptables save

进阶提示：日志与调试

若想记录被拒绝的连接，可添加日志规则：

$ sudo iptables -A INPUT -j LOG --log-prefix "[IPTABLES DROP] "

日志通常出现在 /var/log/syslog 或 /var/log/messages 中。

总结

通过本教程，你已经掌握了使用iptables进行基本路由规则管理的方法。虽然这只是冰山一角，但足以应对大多数日常场景。记住：网络安全配置不是一次性的任务，而是一个持续优化的过程。

建议在测试环境中反复练习，避免误操作导致生产环境断连。随着经验积累，你可以进一步学习nftables（iptables的现代替代品）或结合fail2ban等工具实现更智能的防护。

现在，你已经具备了构建基础Linux防火墙的能力！继续探索吧，未来的网络安全专家！