iptables 是 Linux 系统里最经典的防火墙工具之一,配置得当的话,能帮系统挡住大量不必要的风险。下面从几个核心方向展开,聊聊怎么利用它把安全水平拉上去。

1. 限制访问
默认拒绝所有流量:
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT这样一来,只有明确放行的流量才能进来,相当于先关上门,再把需要的窗户打开。
只允许必要的端口和服务:根据实际需求,开放必要的端口,比如 SSH(22)、HTTP(80)、HTTPS(443)等。
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
2. 防止 SYN Flood 攻击
- 启用 SYN Cookies:
或者在echo 1 > /proc/sys/net/ipv4/tcp_syncookies/etc/sysctl.conf中添加:
然后运行net.ipv4.tcp_syncookies = 1sysctl -p使其生效。这个小开关专门对付半连接洪水,性价比极高。
3. 限制连接速率
- 使用
limit模块:
简单说,就是控制单位时间内的新连接请求数量,防止恶意用户拿大量 SYN 请求把服务器资源耗光。iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -j DROP
4. 阻止特定 IP 地址
- 添加黑名单规则:
如果封的 IP 比较多,可以配合iptables -A INPUT -s 192.168.1.100 -j DROPipset来管理,效率更高。
5. 日志记录
- 记录可疑活动:
这样既能监控哪些流量被拦了,又不会因为日志刷太快而撑爆磁盘。iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4 iptables -A INPUT -j DROP
6. 使用 ufw(Uncomplicated Firewall)
- 简化配置:如果觉得 iptables 命令太繁琐,可以试试
ufw,它在底层还是调用 iptables,但操作起来友好得多。sudo ufw enable sudo ufw allow 22/tcp sudo ufw allow 80/tcp sudo ufw allow 443/tcp
7. 定期更新和维护
- 保持 iptables 规则最新:安全威胁在变,规则也得跟着调整。建议定期检查,及时增删。
8. 备份配置
- 备份 iptables 规则:做任何大改之前,先备份当前配置,避免改崩了恢复不了。
iptables-sa ve > /etc/iptables/rules.v4
注意事项
- 谨慎操作:写错一条规则,可能直接导致服务断连。建议先在测试环境验证,或者准备远程恢复手段。
- 权限要求:改 iptables 规则需要 root 权限,小心别在普通用户下操作。
- 持久化配置:重启后规则会丢失,可以用
iptables-sa ve和iptables-restore做成持久化,或者安装iptables-persistent包来搞定。
以上这些方法,组合起来能明显提升系统的安全底线。当然,安全是动态工程,规则需要持续审视和更新,才能跟得上变化的威胁环境。
