Linux系统命令之iptables使用方法详解

在Linux系统中，iptables命令是一个强大且灵活的网络过滤工具，它可以帮助管理员管理网络数据包的流动，实现各种网络策略，如防火墙规则设置、端口转发等。然而，对于初学者来说，iptables的使用可能会显得有些复杂。本文将详细介绍iptables命令的使用方法，帮助读者更好地理解和掌握这一工具，从而更有效地管理Linux系统的网络安全。

 

一、iptables概述

iptables是Linux系统下一个功能强大的防火墙工具，它基于Netfilter框架，用于配置和管理Linux内核中的网络包过滤规则。iptables能够控制网络流量的进出，实现数据包过滤、网络地址转换（NAT）、端口转发等功能，是Linux系统安全的重要组成部分。

 

二、iptables的基本结构

iptables由表（Tables）、链（Chains）和规则（Rules）三个核心部分组成。

表（Tables）

raw表：用于处理连接跟踪前的数据包（如禁用连接跟踪）。

mangle表：用于修改数据包的元数据（如TTL、TOS字段）。

nat表：用于网络地址转换（SNAT/DNAT）。

filter表：默认表，用于数据包过滤（允许/拒绝流量）。

iptables内置了四张表，按优先级从高到低排列：

链（Chains）

PREROUTING链：路由前处理（如DNAT）。

INPUT链：处理目标是本机的数据包。

FORWARD链：处理经过本机转发的数据包。

OUTPUT链：处理本机生成的数据包。

POSTROUTING链：路由后处理（如SNAT）。

每个表包含多个链，用于处理不同阶段的数据包：

表和链的关系：不同表支持的链不同。例如，nat表处理PREROUTING和POSTROUTING链，而filter表处理INPUT、FORWARD、OUTPUT链。

规则（Rules）

规则是iptables的核心，每条规则包含一个条件和一个目标（target）。如果满足条件，就执行目标中的操作。

条件可以包括源/目标IP地址、端口、协议等。

目标可以是ACCEPT（允许通过）、DROP（丢弃）、REJECT（拒绝并返回错误）、LOG（记录日志）等。

 

三、iptables命令的基本语法

iptables命令的基本语法如下：

iptables [-t 表名] 命令选项 [链名] [匹配条件] [-j 目标动作]

-t 表名：指定要操作的表，默认是filter表。其他表需明确指定，如-t nat。

命令选项：如-A（追加规则）、-I（插入规则）、-D（删除规则）、-L（查看规则）等。

链名：指定要操作的链，如INPUT、OUTPUT、FORWARD等。

匹配条件：用于过滤数据包的条件，如源IP地址、目标IP地址、端口、协议等。

-j 目标动作：指定匹配到规则后应该执行的动作，如ACCEPT、DROP、REJECT等。

 

四、iptables命令的常用操作

1. 查看规则

查看所有链的规则：

iptables -L

该命令将列出所有链（INPUT、FORWARD、OUTPUT）中的规则。

查看特定表的规则：

iptables -t nat -L

该命令将列出nat表中的所有规则。

查看带行号的规则：

iptables -L --line-numbers

该命令将列出所有链中的规则，并显示每条规则的行号，方便后续操作。

2. 添加规则

追加规则：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

该命令将在INPUT链的末尾追加一条规则，允许TCP协议、目标端口为22的数据包通过。

插入规则：

iptables -I INPUT 2 -p udp --dport 53 -j ACCEPT

该命令将在INPUT链的第2条位置插入一条规则，允许UDP协议、目标端口为53的数据包通过。

3. 删除规则

按行号删除规则：

iptables -D INPUT 2

该命令将删除INPUT链中的第2条规则。

按匹配条件删除规则：

iptables -D INPUT -p tcp --dport 22 -j ACCEPT

该命令将删除INPUT链中匹配TCP协议、目标端口为22且动作为ACCEPT的规则。

4. 清空规则

清空所有链的规则：

iptables -F

该命令将清空所有链（INPUT、FORWARD、OUTPUT）中的规则。

清空特定表的规则：

iptables -t nat -F

该命令将清空nat表中的所有规则。

5. 设置默认策略

设置链的默认策略：

iptables -P INPUT DROP

该命令将INPUT链的默认策略设置为DROP，即默认情况下丢弃所有进入本机的数据包。

6. 保存和恢复规则

保存规则：

iptables-save > /etc/iptables/rules.v4

该命令将当前的iptables规则保存到指定文件中。

恢复规则：

iptables-restore < /etc/iptables/rules.v4

该命令将从指定文件中加载iptables规则。

 

五、iptables的高级功能

1. 状态追踪（连接跟踪）

iptables支持状态追踪功能，可以跟踪数据包的连接状态，如已建立（ESTABLISHED）、相关（RELATED）、新建（NEW）等。

示例：

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

该命令将允许所有已建立或相关的连接进入本机。

2. 网络地址转换（NAT）

NAT功能可以实现网络地址的转换，包括源地址转换（SNAT）和目标地址转换（DNAT）。

示例（SNAT）：

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

该命令将内网192.168.1.0/24的流量通过eth0接口进行源地址伪装（SNAT），实现内网主机通过一个公网IP地址上网。

示例（DNAT）：

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80

该命令将访问公网IP:8080的流量转发到内部服务器192.168.1.100:80。

3. 自定义链

iptables支持自定义链，可以将多个相关的规则组织到一个自定义链中，方便管理和维护。

示例：

iptables -N CUSTOM-CHAIN
iptables -A INPUT -j CUSTOM-CHAIN
iptables -A CUSTOM-CHAIN -s 10.0.0.0/8 -j DROP

该命令首先创建了一个名为CUSTOM-CHAIN的自定义链，然后在INPUT链中跳转到该自定义链，最后在自定义链中添加了一条规则，拒绝来自10.0.0.0/8网段的流量。

4. 记录日志

iptables支持记录日志功能，可以将匹配到规则的数据包记录到系统日志中。

示例：

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH Denied: "
iptables -A INPUT -p tcp --dport 22 -j DROP

该命令将记录所有被拒绝的SSH连接尝试，并在系统日志中添加前缀“SSH Denied: ”。

 

六、iptables的使用注意事项

规则顺序：iptables规则是按顺序匹配的，第一条匹配的规则将生效。因此，规则的顺序非常重要。

避免锁定自己：如果通过SSH远程配置防火墙，务必先允许SSH端口，否则可能会导致无法连接到服务器。

测试规则：在修改iptables规则之前，可以使用iptables-apply命令或临时规则进行测试，防止配置错误导致断连。

IPv6支持：如需处理IPv6流量，需使用ip6tables命令。

 

七、总结

iptables是Linux系统中一个功能强大的防火墙工具，通过灵活组合表和链，可以构建复杂的防火墙策略。本文详细介绍了iptables的基本结构、命令语法、常用操作、高级功能以及使用注意事项，希望能够帮助读者更好地掌握iptables的使用方法。在实际应用中，需要根据具体的网络环境和安全需求来配置iptables规则，以确保系统的安全性和稳定性。