iptables命令详解（Linux防火墙配置完全指南）

一、iptables是什么？

iptables是Linux内核的一部分，它允许系统管理员定义规则来控制进出网络的数据包。通过配置防火墙规则，你可以保护系统免受恶意攻击，并管理网络流量。在Linux服务器中，iptables常用于实现访问控制、端口转发和网络地址转换（NAT）。

二、基本概念：表、链和规则

理解iptables前，需要知道三个核心概念：

• 表（Tables）：iptables有多个表，如filter表（用于过滤）、nat表（用于地址转换）。默认使用filter表。
• 链（Chains）：每个表包含多个链，如INPUT链（处理进入本机的数据包）、OUTPUT链（处理从本机出去的数据包）。
• 规则（Rules）：规则定义了数据包匹配条件和动作，如允许或拒绝。规则按顺序在链中执行。

这些概念是配置iptables的基础，确保网络安全策略有效。

三、常用iptables命令和选项

iptables命令语法如下：

iptables [选项] 链名 匹配条件 -j 动作

常用选项：

• -A：在链末尾添加规则。
• -I：在链开头插入规则。
• -D：删除规则。
• -L：列出规则。
• -p：指定协议，如tcp、udp。
• --dport：指定目标端口。
• -j：指定动作，如ACCEPT（允许）、DROP（丢弃）。

例如，允许SSH连接（端口22）的命令：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

这个命令在INPUT链中添加规则，允许TCP协议到端口22的数据包。掌握这些命令能帮助你高效配置Linux 防火墙。

四、示例配置：保护Web服务器

假设你运行一个Web服务器，需要开放端口80（HTTP）和443（HTTPS），并阻止其他不必要的访问。以下是一个简单配置：

# 清空现有规则iptables -F# 设置默认策略：丢弃所有进入数据包，允许所有出去数据包iptables -P INPUT DROPiptables -P OUTPUT ACCEPT# 允许本地回环接口iptables -A INPUT -i lo -j ACCEPT# 允许已建立的连接iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# 允许HTTP和HTTPS流量iptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPT# 允许SSH管理（端口22）iptables -A INPUT -p tcp --dport 22 -j ACCEPT

这个配置增强了网络安全，只开放必要端口。通过iptables，你可以灵活控制Linux系统的网络访问。

五、总结

iptables是Linux中强大的防火墙工具，通过表和链管理规则。本教程涵盖了基础概念、常用命令和实际示例，帮助你入门iptables配置。记住，实践是学习的关键：在测试环境中多练习，逐步构建自己的网络安全策略。如果你遇到问题，查阅官方文档或社区资源，进一步提升技能。