最稳妥的做法是使用 iptables-save 命令将规则导出到外部文件,重装系统后通过 iptables-restore 导入,并根据不同 Linux 发行版的机制配置开机自动加载,避免规则仅存在于内存中。
先说结论:备份规则靠 iptables-save,恢复靠 iptables-restore,持久化靠发行版特定配置。
- 适合:系统重装、迁移或需要保留防火墙策略的场景
- 先准备:确保有外部存储保存备份文件,确认新系统 iptables 服务已安装
- 验收:重启服务器后检查规则是否依然存在,业务端口是否通畅
⚠️ 远程操作安全警告
在远程服务器操作防火墙规则时,若清空规则后未能及时恢复允许 SSH 连接的规则,会导致无法远程连接。操作前请务必执行以下安全缓冲步骤:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT确保当前会话不会被阻断后,再进行备份或清空操作。若操作失误,需通过控制台(VNC)介入修复。
命令速用版
备份当前规则到文件:
iptables-save > /root/iptables-backup.txt从文件恢复规则(建议先清空现有规则):
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables-restore < /root/iptables-backup.txt不同发行版持久化配置
iptables 规则默认运行在内核内存中,重启后会丢失。需根据发行版配置持久化。
CentOS/RHEL 7 及以上
默认使用 firewalld,需停用并安装 iptables-services:
# 停用并屏蔽 firewalld
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld# 安装 iptables 服务
yum install -y iptables-services# 启用开机自启
systemctl enable iptables
systemctl start iptables# 保存当前规则到配置文件
service iptables save配置文件路径通常为 /etc/sysconfig/iptables。
Ubuntu/Debian
需安装 iptables-persistent 包:
# 安装持久化包
apt update
apt install -y iptables-persistent# 保存当前规则(安装过程中会提示保存,后续可用此命令更新)
netfilter-persistent save# 或手动保存
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6配置后系统重启会自动加载 /etc/iptables/ 下的规则。
怎么验证是否生效
1. 查看规则列表:
iptables -L -n -v2. 重启服务器:
reboot3. 重启后再次检查规则是否存在,并测试业务端口(如 SSH 22 端口、Web 80/443 端口)是否可按预期访问。若 SSH 无法连接,需通过控制台(VNC)介入修复。
常见坑
1. Firewalld 冲突:CentOS 7+ 默认启用 firewalld,与 iptables 服务冲突。必须 stop 并 mask firewalld,否则规则可能不生效或被覆盖。
2. 远程锁机风险:执行 iptables -F 前未设置默认策略为 ACCEPT,或未确认备份文件包含 SSH 允许规则,会导致连接中断。
3. 服务未安装:CentOS 7 最小化安装默认不包含 iptables-services,直接执行 service iptables save 会报错 command not found。
4. 路径差异:不同发行版配置文件路径不同(/etc/sysconfig/iptables vs /etc/iptables/rules.v4),不要盲目复制配置文件,优先使用对应命令保存。
原文链接:https://www.zjcp.cc/ask/11396.html