Debian系统安全配置：使用iptables实现网络访问控制策略

Debian系统安全配置：使用iptables实现网络访问控制策略

在Linux系统安全防护中，iptables作为netfilter框架的核心组件，为网络访问控制提供了强大的规则引擎。本文将通过具体案例演示如何在Debian系统中配置iptables防火墙规则来实现精细化的网络访问控制。

环境准备

# Debian 12 (Bookworm) 系统
# 内核版本：6.1.0-10-amd64
# iptables 版本：1.8.9

核心配置步骤

1. 基础规则设置

# 清空现有规则
iptables -F
iptables -X

# 设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

2. 允许本地回环访问

iptables -A INPUT -i lo -j ACCEPT

3. 允许已建立连接的流量

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

4. SSH访问控制（仅允许特定网段）

# 允许管理网段访问SSH
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# 拒绝其他所有SSH请求
iptables -A INPUT -p tcp --dport 22 -j REJECT --reject-with tcp-reset

5. HTTP服务访问控制

# 允许Web服务器访问
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 限制访问频率（防扫描）
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute -j ACCEPT

高级安全配置

限制ICMP ping请求

# 仅允许特定网段ping本机
iptables -A INPUT -p icmp --icmp-type echo-request -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT

防止SYN洪水攻击

# 限制每个IP的连接数
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 5 -j REJECT

验证与应用

# 查看规则
iptables -L -n -v

# 保存配置（Debian）
sudo iptables-save > /etc/iptables/rules.v4

重要提醒：在生产环境中部署iptables规则前，必须确保通过其他方式（如物理访问或串口控制台）保持系统访问权限，避免因规则错误导致无法远程访问系统。