当前位置：首页 > news >正文

Iptables 实战指南：从基础规则到高级网络防护

news 2026/5/27 16:59:59

1. Iptables 防火墙核心概念解析

第一次接触Iptables时，我被它复杂的规则链和表结构搞得晕头转向。直到有次服务器被恶意扫描，才真正明白这套工具的价值。简单来说，Iptables就像大楼的智能门禁系统，不仅要知道谁可以进出（ACCEPT/REJECT），还要记录异常行为（LOG），甚至能对特定人员采取特殊处理（DNAT/SNAT）。

理解Iptables需要掌握三个关键维度：

规则链：数据包必经的检查点，包括INPUT（入站）、OUTPUT（出站）、FORWARD（转发）等五个关键节点
匹配条件：就像门禁系统的识别方式，可以通过源IP（-s）、目标端口（--dport）、协议类型（-p）等二十余种特征进行筛选
处理动作：匹配后的操作，常用的有允许通过（ACCEPT）、静默丢弃（DROP）、拒绝并回复（REJECT）等

实际运维中最容易踩坑的是规则顺序。有次我配置完SSH防护后突然失联，后来发现是因为把拒绝规则放在了允许规则前面。正确的做法应该是：

# 正确的规则顺序示例 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT

2. 生产环境必备的防护规则集

在金融行业做安全加固时，我整理了一套经过实战检验的规则模板。这些规则不仅要考虑安全性，还要兼顾业务连续性。比如Web服务器集群就需要特别处理80/443端口的流量。

基础防护四件套：

防SSH暴力破解：

iptables -N SSH_PROTECT iptables -A SSH_PROTECT -m recent --name ssh --set iptables -A SSH_PROTECT -m recent --name ssh --update --seconds 300 --hitcount 5 -j DROP iptables -A INPUT -p tcp --dport 22 -j SSH_PROTECT

防SYN洪水攻击：

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT iptables -A INPUT -p tcp --syn -j DROP

防ICMP洪水：

iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT iptables -A INPUT -p icmp -j DROP

防端口扫描：

iptables -N PORTSCAN iptables -A PORTSCAN -m recent --name attacker --set iptables -A INPUT -m recent --name attacker --update --seconds 3600 -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j PORTSCAN

对于电商类业务，还需要特别注意API接口的保护。我们曾用以下规则成功阻断了一次CC攻击：

iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 50 -j REJECT iptables -A INPUT -p tcp --dport 443 -m state --state NEW -m limit --limit 100/s --limit-burst 200 -j ACCEPT

3. 高级流量控制技巧

当服务器需要处理复杂网络架构时，单纯的允许/拒绝规则就不够用了。去年我们为视频直播业务设计了一套QoS方案，核心就是Iptables的MARK和TC配合使用。

典型的多租户流量控制：

首先标记不同业务的流量：

iptables -t mangle -A PREROUTING -p tcp --dport 1935 -j MARK --set-mark 10 # 直播流 iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 20 # Web访问 iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 30 # SSH管理

然后配合tc进行带宽分配：

tc qdisc add dev eth0 root handle 1: htb tc class add dev eth0 parent 1: classid 1:10 htb rate 50mbit ceil 50mbit # 直播流 tc class add dev eth0 parent 1: classid 1:20 htb rate 20mbit ceil 30mbit # Web访问 tc class add dev eth0 parent 1: classid 1:30 htb rate 1mbit ceil 1mbit # SSH

连接数限制的实用方案： MySQL数据库经常面临连接数耗尽的问题，可以通过以下方式防护：

iptables -A INPUT -p tcp --dport 3306 -m connlimit --connlimit-above 50 -j REJECT iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j REJECT

4. 规则优化与持久化实践

随着规则数量增加，Iptables的性能会明显下降。通过多年实践，我总结了几个关键优化点：

规则排序原则：
- 匹配频率高的规则放前面
- 简单匹配条件（如单IP）优先于复杂匹配（如字符串匹配）
- 拒绝规则尽量前置，但要注意白名单例外
使用ipset提升效率：当需要处理大量IP时，ipset比直接写规则高效得多：

ipset create blacklist hash:ip timeout 86400 iptables -A INPUT -m set --match-set blacklist src -j DROP # 动态添加恶意IP ipset add blacklist 192.168.1.100 timeout 3600

持久化配置方案：推荐使用iptables-persistent工具：

apt-get install iptables-persistent iptables-save > /etc/iptables/rules.v4 ip6tables-save > /etc/iptables/rules.v6 netfilter-persistent save

对于需要频繁变更规则的场景，可以结合Ansible管理：

- name: Apply iptables rules hosts: all tasks: - name: Flush existing rules iptables: chain: "{{ item }}" flush: yes with_items: - INPUT - FORWARD - OUTPUT - name: Allow established connections iptables: chain: INPUT ctstate: ESTABLISHED,RELATED jump: ACCEPT

在Kubernetes环境中，还需要特别注意与CNI插件的规则协调。曾经就遇到过calico规则覆盖自定义规则的情况，最终通过调整规则插入位置解决了问题。

查看全文

http://www.jsqmd.com/news/573716/