Linux iptables 完全指南（从入门到精通）

一、iptables 是什么？

iptables 是 Linux 内核集成的防火墙软件，它通过操作内核中的 netfilter 模块，对进出网络接口的数据包进行控制。你可以把它想象成一个关卡，每个数据包都要经过预设的规则检查，符合规则就放行，否则拒绝。掌握 iptables 命令是 Linux 运维和网络管理的基础技能。

二、核心概念：表和链

iptables 的规则组织成“表”和“链”。常用的表有 filter 表（用于过滤）、nat 表（用于网络地址转换）和 mangle 表（用于修改数据包）。每个表包含若干链，如 INPUT（入站）、OUTPUT（出站）、FORWARD（转发）。规则配置就是在这些链中添加、删除或修改规则。

三、iptables 命令基本语法

iptables 命令格式通常为：iptables [-t 表名] 选项 [链名] [条件] [-j 目标]。例如，要查看当前规则，使用 iptables -L -n -v。常见的选项包括 -A（追加）、-I（插入）、-D（删除）、-P（设置默认策略）等。

四、实战案例：构建基本防火墙

下面通过几个典型场景演示 iptables 命令的使用，帮助读者快速上手 Linux 防火墙的规则配置，提升系统网络安全。

1. 允许 SSH 连接

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT  

这条命令在 INPUT 链末尾追加一条规则，允许目标端口为 22（SSH）的 TCP 数据包通过。

2. 禁止来自特定 IP 的访问

    iptables -A INPUT -s 192.168.1.100 -j DROP  

该规则拒绝源 IP 为 192.168.1.100 的所有数据包。

3. 开启 NAT 转发

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  

在 nat 表的 POSTROUTING 链上添加规则，实现共享上网（需要开启 IP 转发）。

五、保存与恢复规则

手动添加的规则重启后会丢失，可以使用 iptables-save 和 iptables-restore 命令持久化规则。例如：iptables-save > /etc/iptables.rules，然后在网络脚本中加载。

六、总结

iptables 功能强大，但学习曲线较陡。建议从 filter 表开始练习，逐步理解数据包过滤和网络地址转换的机制。掌握 iptables 不仅能加固服务器，还能深入理解 Linux 网络栈。

通过本文的学习，你应该能够独立使用 iptables 命令配置简单的防火墙策略。更多高级用法可参考 man 手册或官方文档。