您是否正在为您的VPS寻找完整的 iptables 教程?留在原地。在本文中,我们将向您展示如何在 Ubuntu 系统上安装和使用 iptables。通过了解这个 Linux 防火墙工具,您可以使用命令行界面保护您的 VPS 。
什么是 iptables,它是如何工作的?
简单来说,iptables 是一个 Linux 的防火墙程序。它将使用表监视进出您的服务器的流量。这些表包含一组规则,称为链,将过滤传入和传出的数据包。
当一个数据包匹配一个规则时,它会被赋予一个目标,它可以是另一个链或这些特殊值之一:
- ACCEPT – 将允许数据包通过。
- DROP – 不会让数据包通过。
- RETURN - 停止数据包遍历链并告诉它返回到前一个链。
在本 iptables 教程中,我们将使用一个名为filter的默认表。它由三个链组成:
- INPUT – 控制传入服务器的数据包。
- FORWARD - 过滤将被转发到其他地方的传入数据包。
- OUTPUT - 过滤从您的服务器发出的数据包。
在开始本指南之前,请确保您对在 Ubuntu 16.04 或更高版本上运行的计算机具有 SSH root或sudo访问权限。您可以通过 PuTTY (Windows) 或终端 shell(Linux、macOS)建立连接。如果您拥有 Hostinger VPS,您可以在 hPanel 的 Servers 选项卡上获取 SSH 登录详细信息。
重要的!iptables 规则仅适用于ipv4。如果要为ipv6协议设置防火墙,则需要改用ip6tables。
如何安装和使用 iptables Linux 防火墙
我们将把这个 iptables 教程分为三个步骤。首先,您将学习如何在 Ubuntu 上安装该工具。其次,我们将向您展示如何定义规则。最后,我们将指导您在 iptables 中进行持久更改。
第 1 步 — 安装 iptables
iptables 预装在大多数 Linux 发行版中。但是,如果您在 Ubuntu/Debian 系统中默认没有它,请按照以下步骤操作:
- 通过 SSH 连接到您的服务器。如果您不知道,可以阅读我们的SSH 教程。
- 一一执行以下命令:
sudo apt-get
sudo apt-get install iptables- 通过运行以下命令检查当前 iptables 配置的状态:
sudo iptables -L -v- 这里,-L选项用于列出所有规则,-v 用于以更详细的格式显示信息。下面是示例输出:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination您现在将安装 Linux 防火墙。此时,您可以注意到所有链都设置为ACCEPT并且没有规则。这是不安全的,因为任何数据包都可以在没有过滤的情况下通过。
不用担心。我们将在 iptables 教程的下一步中告诉您如何定义规则。
第 2 步 – 定义链式规则
定义规则意味着将其附加到链中。为此,您需要在 iptables 命令之后插入-A选项(Append ),如下所示:
sudo iptables -A它会提醒 iptables 您正在向链中添加新规则。然后,您可以将该命令与其他选项结合使用,例如:
- -i ( interface ) — 要过滤其流量的网络接口,例如 eth0、lo、ppp0 等。
- -p (协议) — 发生过滤过程的网络协议。它可以是tcp、udp、udplite、icmp、sctp、icmpv6等。或者,您可以键入all以选择每个协议。
- -s ( source ) — 流量的来源地址。您可以添加主机名或 IP 地址。
- –dport ( destination port ) — 协议的目标端口号,如22 ( SSH )、443 ( https ) 等。
- -j ( target ) — 目标名称 ( ACCEPT , DROP , RETURN )。每次制定新规则时都需要插入它。
如果要全部使用,则必须按以下顺序编写命令:
sudo iptables -A -i -p -s --dport -j 一旦你理解了基本语法,你就可以开始配置防火墙来为你的服务器提供更多的安全性。对于本 iptables 教程,我们将使用INPUT链作为示例。
在 localhost 上启用流量
要允许 localhost 上的流量,请键入以下命令:
sudo iptables -A INPUT -i lo -j ACCEPT对于这个 iptables 教程,我们使用lo或loopback接口。它用于本地主机上的所有通信。上面的命令将确保同一台机器上的数据库和 Web 应用程序之间的连接正常工作。
在 HTTP、SSH 和 SSL 端口上启用连接
接下来,我们希望http(端口80)、https(端口443)和ssh(端口22)连接正常工作。为此,我们需要指定协议 ( -p ) 和相应的端口 ( -dport )。您可以一一执行这些命令:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT是时候检查是否在 iptables 中附加了规则:
sudo iptables -L -v它应该返回以下结果,这意味着来自指定端口的所有 TCP 协议连接都将被接受:
根据来源过滤数据包
iptables 允许您根据 IP 地址或 IP 地址范围过滤数据包。您需要在-s选项之后指定它。例如,要接受来自192.168.1.3的数据包,命令将是:
sudo iptables -A INPUT -s 192.168.1.3 -j ACCEPT您还可以通过将ACCEPT目标替换为DROP来拒绝来自特定 IP 地址的数据包。
sudo iptables -A INPUT -s 192.168.1.3 -j DROP如果你想从一系列 IP 地址中丢弃数据包,你必须使用-m选项和iprange模块。然后,使用–src-range指定 IP 地址范围。请记住,连字符应分隔 ip 地址范围而没有空格,如下所示:
sudo iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j DROP丢弃所有其他流量
在定义–dport规则后,对所有其他流量使用DROP目标至关重要。这将防止未经授权的连接通过其他开放端口访问服务器。为此,只需键入:
sudo iptables -A INPUT -j DROP现在,指定端口外的连接将被丢弃。
删除规则
如果要删除所有规则并从头开始,可以使用-F选项(flush):
sudo iptables -F此命令清除所有当前规则。但是,要删除特定规则,您必须使用 -D 选项。首先,您需要通过输入以下命令来查看所有可用规则:
sudo iptables -L --line-numbers您将获得带有数字的规则列表:
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 192.168.0.4 anywhere
2 ACCEPT tcp -- anywhere anywhere tcp dpt:https
3 ACCEPT tcp -- anywhere anywhere tcp dpt:http
4 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh要删除规则,请从列表中插入相应的链和编号。假设对于这个 iptables 教程,我们想要摆脱INPUT链的第三条规则。命令应该是:
sudo iptables -D INPUT 3第 3 步 - 持续更改
我们创建的 iptables 规则保存在内存中。这意味着我们必须在重新启动时重新定义它们。要在重新启动服务器后使这些更改保持不变,您可以使用以下命令:
sudo /sbin/iptables-save它将当前规则保存在系统配置文件中,用于在每次服务器重新启动时重新配置表。
请注意,每次更改规则时都应始终运行此命令。例如,如果要禁用 iptables,则需要执行以下两行:
sudo iptables -F
sudo /sbin/iptables-save您将看到以下结果:
结论
iptables 是一个强大的防火墙程序,您可以使用它来保护您的 Linux 服务器或 VPS。很棒的是,您可以根据自己的喜好定义各种规则。
在本 iptables 教程中,您学习了如何安装和使用该工具。现在,我们希望您可以管理您的规则集来过滤传入和传出的数据包。
是时候自己测试一下了,祝你好运!