Linux网络安全规则配置（从零开始掌握iptables防火墙）

一、什么是iptables？

iptables 是 Linux 内核中 netfilter 框架的命令行前端工具。它允许系统管理员定义规则来控制进出系统的网络数据包。通过设置这些规则，你可以阻止恶意流量、限制访问端口、保护服务安全等。

二、准备工作

在开始之前，请确保你拥有以下条件：

• 一台运行 Linux 的服务器或虚拟机（如 Ubuntu、CentOS 等）
• 具有 root 权限或 sudo 权限的用户账户
• 基本的命令行操作知识

三、查看当前规则

首先，我们可以查看当前系统中已有的 iptables 规则：

$ sudo iptables -L -v  

这条命令会列出所有链（INPUT、OUTPUT、FORWARD）及其规则。如果你是第一次使用，可能看到的是空规则或默认策略。

四、设置基本安全规则

为了保护你的服务器，建议设置以下基础规则：

1. 允许本地回环通信

$ sudo iptables -A INPUT -i lo -j ACCEPT  

2. 允许已建立的连接返回数据

$ sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  

3. 开放常用端口（如 SSH、HTTP、HTTPS）

$ sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT   # SSH$ sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT   # HTTP$ sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT  # HTTPS  

4. 设置默认拒绝策略

在允许必要流量后，应拒绝其他所有未明确允许的连接：

$ sudo iptables -P INPUT DROP  

⚠️ 注意：执行此命令前务必确认你已允许 SSH 访问，否则可能被锁在服务器外！

五、保存规则（持久化）

重启后，iptables 规则会丢失，因此需要保存：

Ubuntu/Debian:

$ sudo iptables-save > /etc/iptables/rules.v4  

CentOS/RHEL:

$ sudo service iptables save  

六、常见问题与最佳实践

• 始终先测试规则，再设置默认拒绝策略
• 定期审查规则，删除不再需要的条目
• 结合 fail2ban 等工具增强防护
• 不要开放不必要的端口，遵循最小权限原则

七、总结

通过本教程，你已经掌握了使用 iptables 配置基本 Linux 网络安全规则的方法。合理使用 netfilter 框架和 Linux防火墙 功能，可以显著提升服务器的安全性。记住，网络安全配置 不是一次性任务，而是一个持续优化的过程。

安全无小事，从今天开始加固你的 Linux 服务器吧！