Linux 防火墙从入门到精通

深入理解 iptables：Linux 防火墙从入门到精通

什么是 iptables

iptables 是 Linux 系统自带的用户空间防火墙工具，它基于 Netfilter 框架，提供了强大的网络包过滤功能。作为 Linux 内核网络堆栈（network stack）的重要组成部分，iptables 工作在 OSI 模型的网络层和传输层，主要处理 IPv4 数据包。

iptables 允许系统管理员通过定义规则链（chains）来配置内核提供的网络包过滤规则。这些规则链包括：

• INPUT 链：处理进入本机的数据包
• OUTPUT 链：处理从本机发出的数据包
• FORWARD 链：处理通过本机转发的数据包
• PREROUTING 链：在路由决策前处理数据包
• POSTROUTING 链：在路由决策后处理数据包

每个规则链中可以包含多个规则，这些规则可以基于多种条件进行匹配，如：

1. 源/目标 IP 地址
2. 协议类型（TCP/UDP/ICMP等）
3. 端口号
4. 网络接口
5. 连接状态（NEW, ESTABLISHED等）

匹配规则后可执行的操作（target）包括：

• ACCEPT：允许数据包通过
• DROP：丢弃数据包（静默丢弃）
• REJECT：拒绝数据包（会返回错误信息）
• LOG：记录日志信息
• SNAT/DNAT：网络地址转换

iptables 的典型应用场景包括：

1. 防火墙配置：保护服务器免受网络攻击
2. NAT 网关：实现内网主机访问外网
3. 端口转发：将外部请求转发到内部服务器
4. 流量控制：限制特定IP或端口的带宽
5. 网络监控：记录特定类型的网络流量

例如，要阻止来自 192.168.1.100 的所有连接，可以使用命令：

iptables -A INPUT -s 192.168.1.100 -j DROP

iptables 规则默认存储在内存中，重启后会失效。要永久保存规则，需要使用 iptables-save 和 iptables-restore 工具，或者使用发行版特定的保存机制（如Debian的iptables-persistent包）。

iptables 是 netfilter 项目的一部分，该项目提供了 Linux 内核中的网络过滤框架。具体来说：

1. netfilter 是内核空间的模块，负责实际的包过滤工作
2. iptables 是用户空间的工具，用于配置和管理 netfilter 规则

主要功能特点包括：

• 支持构建复杂的防火墙规则集
• 可以实现基于IP、端口、协议等条件的过滤
• 提供 NAT（网络地址转换）功能
• 支持数据包修改和重定向
• 具备日志记录能力

iptables 使用表（tables）和链（chains）的层次结构来组织规则：

1. 常用表包括：filter（默认）、nat、mangle、raw
2. 每个表包含预定义的链如：INPUT、OUTPUT、FORWARD
3. 管理员可以创建自定义链来实现更复杂的规则组织

典型应用场景：

• 服务器安全防护
• 网络流量控制
• 端口转发
• 防止DDoS攻击
• VPN配置

随着 Linux 内核的发展，iptables 正在逐步被 nftables 取代，但目前仍然是大多数 Linux 发行版的默认防火墙解决方案。

iptables 的核心组件

1. 表（Tables）

iptables 包含四个主要表：

• filter 表：默认表，用于包过滤
• nat 表：网络地址转换
• mangle 表：特殊包修改
• raw 表：连接跟踪豁免

2. 链（Chains）

每个表包含预定义的链：

• PREROUTING：路由前处理
• INPUT：处理到本机的包
• FORWARD：处理转发的包
• OUTPUT：处理本机发出的包
• POSTROUTING：路由后处理

基本命令语法

iptables [-t 表名] 命令 [链名] [规则号] [匹配条件] [-j 处理动作]

常用命令：

• -A：追加规则
• -I：插入规则
• -D：删除规则
• -L：列出规则
• -F：清空规则
• -P：设置默认策略

实用规则示例

1. 基本防护规则

# 允许已建立的连接和相关的连接
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 允许本地回环接口
iptables -A INPUT -i lo -j ACCEPT

# 允许SSH连接（端口22）
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

2. NAT 配置示例

# 启用IP转发
echo 1 > /proc/sys/net/ipv4/ip_forward

# 配置SNAT（源地址转换）
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# 配置DNAT（目标地址转换）
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80

高级技巧

1. 连接限制

# 限制SSH连接频率
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

2. 日志记录

# 创建自定义日志链
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

持久化保存

CentOS/RHEL:

service iptables save

Ubuntu/Debian:

iptables-save > /etc/iptables.rules

诊断工具

1. 查看规则计数器：

iptables -L -n -v

1. 检查数据包流向：

iptables -t raw -A PREROUTING -p icmp -j TRACE

1. 监控日志：

tail -f /var/log/messages | grep IPTables

替代方案
虽然 iptables 功能强大且被广泛使用，但随着 Linux 内核的发展，也出现了更现代化的替代方案：

1. nftables

   • 作为下一代防火墙框架，nftables 在 Linux 3.13 内核中被引入，旨在取代 iptables/ip6tables/arptables 等工具
   • 主要优势包括：
     • 统一的语法结构，简化了 IPv4/IPv6 双栈配置
     • 更好的性能表现，支持规则集批量操作
     • 内置 JSON 支持便于规则导出导入
   • 典型应用场景：需要高性能规则处理的企业级防火墙

2. firewalld

   • 红帽系发行版默认的动态防火墙管理工具
   • 核心特性：
     • 基于"zone"概念的配置模型
     • 支持运行时动态修改规则而不中断现有连接
     • 提供 D-Bus 接口便于与其他服务集成
   • 适合场景：需要频繁调整防火墙策略的云环境

3. 其他方案

   • UFW (Uncomplicated Firewall)：Ubuntu 的简化配置工具
   • BPF/XDP：基于内核包过滤机制的高性能方案

技术演进建议：

• 对于新系统建议优先评估 nftables
• 现存 iptables 规则可通过 iptables-translate 工具转换
• 关键网络设备建议保持 iptables 技能作为故障排查基础

掌握 iptables 的核心概念（如五链三表、规则匹配机制）仍然是理解 Linux 网络安全的基石，这些原理在新工具中同样适用，只是实现方式有所优化。