iptables防火墙规则配置入门

iptables是Linux内核集成的防火墙工具，通过规则链控制网络数据包的流向。虽然现在有firewalld等更友好的前端工具，但理解iptables仍能帮助你深入掌握Linux网络原理。

基本概念

iptables的规则按表(table)和链(chain)组织。最常用的是filter表，包含INPUT（入站）、OUTPUT（出站）、FORWARD（转发）三条链。每条规则由匹配条件和动作(target)组成。

常用命令

查看当前规则：iptables -L -n -v
允许SSH端口：iptables -A INPUT -p tcp --dport 22 -j ACCEPT
允许HTTP端口：iptables -A INPUT -p tcp --dport 80 -j ACCEPT
允许HTTPS端口：iptables -A INPUT -p tcp --dport 443 -j ACCEPT
允许回环接口：iptables -A INPUT -i lo -j ACCEPT
拒绝其他入站：iptables -A INPUT -j DROP

规则保存

iptables规则重启后会失效，需要保存到文件：Debian/Ubuntu用iptables-save > /etc/iptables/rules.v4，CentOS用service iptables save。也可以将保存命令写入rc.local实现开机加载。

实用技巧

允许已建立的连接继续通信：iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT。这条规则要放在拒绝规则之前，否则已建立的连接也会被切断。规则按顺序匹配，匹配到即停止，因此顺序很重要。