iptables 是 Linux 中基于 netfilter 的底层包过滤工具,通过 INPUT、OUTPUT、FORWARD 链按序匹配规则,支持端口、IP、状态等条件,规则需手动保存才能持久化,顺序与状态处理是关键。
iptables 是 Linux 系统中最经典、最底层的包过滤防火墙工具,它直接与内核的 netfilter 框架交互,用于定义网络数据包的处理规则。虽然现在有 nftables 作为替代方案,但大量生产环境和脚本仍在使用 iptables,掌握其原理和常用操作非常实用。
iptables 的基本结构和工作逻辑
iptables 不是一个服务,而是一个用户态命令行工具,用来配置内核中的规则链(chains)。数据包在经过网络栈时,会按顺序经过若干预定义的链(如 INPUT、OUTPUT、FORWARD),每条链上可挂载多条规则(rules),规则按顺序逐条匹配,一旦匹配成功就执行对应动作(如 ACCEPT、DROP、REJECT),后续规则不再检查。
主要内置链:
- INPUT:处理目标地址是本机的数据包(进来的流量)
- OUTPUT:处理从本机发出的数据包(出去的流量)
- FORWARD:处理经本机转发的数据包(非本机收发,仅中转)
每条规则由“匹配条件”+“目标动作”组成。常见匹配条件包括源/目的 IP、端口、协议(TCP/UDP/ICMP)、状态(NEW/ESTABLISHED/RELATED)等。
常用规则设置与实际示例
添加规则前建议先查看当前策略和规则:
- iptables -L -n -v:列出所有规则(-n 禁用 DNS 反查,-v 显示详细统计)
- iptables -S:以规则语法形式显示所有规则,适合备份或脚本参考
典型操作示例:
- 允许本机访问 22 端口(SSH 入站):iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- 拒绝来自某 IP 的所有连接:iptables -A INPUT -s 192.168.1.100 -j DROP
- 只允许已建立或相关的连接通过(配合前面的 ACCEPT 规则使用):iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- 默认拒绝所有 INPUT 流量(常放在最后):iptables -P INPUT DROP
注意:-A 表示追加到链尾,-I 表示插入到链首(如 -I INPUT 1);规则顺序很重要,靠前的规则优先匹配。
标签: linux centos docker 防火墙 端口 ubuntu 工具 栈 ai dns
还木有评论哦,快来抢沙发吧~