Linux防火墙iptables配置规则详解与高级设置教程

iptables规则配置后不生效，最常见的原因是规则顺序错误：使用-A INPUT将规则追加到链尾时，若链中存在DROP规则或默认策略为DROP，新规则将无法被匹配；应改用-I INPUT 1优先插入规则。同时需注意，filter表不处理地址转换，DNAT/SNAT操作必须使用-t nat指定nat表，并配合PREROUTING或POSTROUTING链。

许多用户误以为iptables是“配置即生效”的简易工具，但在实际部署一系列规则后，却发现网络流量并未按预期流转。问题根源何在？关键在于规则顺序、表链优先级与默认策略这三大核心要素。若未能理清，即便添加上百条如-A INPUT -p tcp --dport 22 -j ACCEPT的规则，也可能被前置的一条-j DROP规则悄然拦截。

为什么新添加的SSH放行规则没有效果？

遇到此类情况，首先应排查语法错误。最根本的原因往往是规则在链中的位置过于靠后。试想，若INPUT链的默认策略设置为DROP或REJECT，而你的允许规则被追加至链尾，所有数据包在“抵达”该规则前，便已被前面的默认策略丢弃。

• iptables -A INPUT ...命令始终将规则追加至链的末尾。它适用于在已设置宽松默认策略（如ACCEPT）后，进行细粒度的拦截与过滤。
• 若要放行SSH、HTTP等关键服务，正确做法是使用-I INPUT 1 ...，将规则插入链首，确保其被优先匹配。
• 动手验证：执行iptables -L INPUT --line-numbers，查看当前规则序号，确认新增规则是否位于可生效的位置。
• 切勿忽略默认策略：使用iptables -t filter -P INPUT DROP设定默认丢弃后，必须确保至少有一条显式的ACCEPT规则位于其前，并能被成功匹配。

filter表与nat表混用的典型误区

另一个常见陷阱是尝试在filter表中配置端口转发，例如将外网8080端口映射至内网服务器的80端口，结果始终无效。原因在于filter表仅负责流量的放行与拦截决策，并不处理地址转换任务。

• DNAT（目标地址转换）：必须使用-t nat -A PREROUTING。命令示例：iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80
• SNAT（源地址转换）：必须使用-t nat -A POSTROUTING。此操作通常用于实现内网主机共享单一公网IP访问互联网。
• 牢记filterFORWARD链：完成NAT转换后，流量仍需被转发。你需要在FORWARD链中同时放行：① 转发的请求本身（例如-p tcp --dport 80）；② 回程的响应（通常使用-m state --state ESTABLISHED,RELATED -j ACCEPT或-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT来处理）。
• 一个关键的系统参数：若未启用sysctl -w net.ipv4.ip_forward=1，所有NAT规则将静默失效。这并非iptables的配置错误，而是内核的IP转发功能未开启。

状态匹配（state）为何偶尔失效？

-m state --state NEW这类写法看似直观，但其底层依赖于连接跟踪模块（nf_conntrack）。若系统负载过高、连接数超出限制，或在raw表中存在-j NOTRACK规则，状态匹配的可靠性将大打折扣。

• 更现代的写法是采用-m conntrack --ctstate NEW。它更为稳定，并能明确区分连接跟踪的状态。
• 对UDP流量需格外谨慎：UDP本身是无连接的，其NEW状态持续时间极短，易导致数据包遗漏。对于UDP服务，更稳妥的策略是结合端口与IP地址进行过滤。
• 注意NOTRACK规则的影响：若为提升DNS或NTP查询性能，在raw表中设置了NOTRACK规则，这些数据包后续在filter表中将无法使用conntrack进行状态匹配。此时，需退回到使用源/目的IP及端口等基础信息进行判断。
• 排查命令：执行iptables -t raw -L -n -v，检查是否存在意料之外的NOTRACK规则干扰了状态匹配逻辑。

规则保存后重启失效的解决方案

你是否也遇到过这种情况：明明执行了service iptables save或iptables-save > /etc/sysconfig/iptables，但服务器重启后规则全部丢失？这通常是因为保存的规则未在系统启动时被自动加载。

• CentOS 6/7：确保iptables服务（注意非firewalld）已启用：systemctl enable iptables。
• Ubuntu/Debian：这些系统默认不提供原生的service iptables命令。你需要手动编写systemd服务单元，或安装iptables-persistent软件包来管理规则持久化。
• 一个更可靠的方法是：将iptables-restore命令写入/etc/network/if-up.d/目录下的脚本，或写入/etc/rc.local文件（若该系统支持）。
• 最后的关键提示：不要直接编辑/etc/sysconfig/iptables文件便认为配置完成。该文件仅为规则快照，必须通过iptables-restore命令加载至内核，规则方能真正生效。

总而言之，规则顺序、表链职责、连接跟踪状态、持久化机制——这四大核心要点，任何一项理解不清，都会导致配置“看似生效实则无效”。尤其在raw、nat、mangle、filter多表混合使用的复杂场景中，数据包的实际流转路径可能与你的设想存在显著差异。透彻理解这些原理，才算真正掌握了iptables防火墙的配置精髓。