安全工程师必知：基于iptables的Linux防火墙规则配置详解

安全工程师必知：基于iptables的Linux防火墙规则配置详解

在Linux系统安全防护中，iptables作为核心防火墙工具，为系统提供了细粒度的网络访问控制能力。本文将结合实际应用场景，详细介绍如何配置安全的iptables规则。

基础环境准备

首先确保系统已安装iptables：

# CentOS/RHEL系统
sudo yum install iptables-services

# Ubuntu/Debian系统
sudo apt-get install iptables

核心安全配置示例

1. 设置默认策略

# 设置INPUT链默认拒绝，只允许特定流量
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

2. 允许本地回环通信

sudo iptables -A INPUT -i lo -j ACCEPT

3. 允许已建立连接的流量

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

4. SSH访问控制（仅允许特定网段）

# 允许特定网段访问SSH端口22
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# 拒绝其他所有SSH连接
sudo iptables -A INPUT -p tcp --dport 22 -j REJECT

5. HTTP服务访问控制

# 允许HTTP和HTTPS访问
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

配置保存与验证

# 保存配置（CentOS）
sudo service iptables save

# 或者使用iptables-save命令
sudo iptables-save > /etc/iptables/rules.v4

# 验证规则是否生效
sudo iptables -L -n -v

通过以上配置，可以构建一个基础但有效的防火墙体系，既保障了系统安全，又不影响正常业务访问。