腾讯云国际站:怎么配置腾讯云服务器iptables?

本文由【云老大】 TG@yunlaoda360 撰写

查看当前规则

使用以下命令查看当前的iptables规则：

bash

iptables-L-n

这将列出当前所有的规则，-L表示列出规则，-n表示以数字形式显示IP地址和端口，而不尝试解析为域名或服务名称。

清空现有规则

在添加新的规则之前，你可能需要先清空现有的规则。可以使用以下命令清空所有链的规则：

bash

iptables-F

这将清除所有链（INPUT、FORWARD、OUTPUT）中的规则。如果你只想清除某个特定的链，可以指定链名，例如清空INPUT链的规则：

bash

iptables-FINPUT

设置默认策略

为每个链设置默认策略是一个重要的步骤。默认策略决定了如何处理没有被明确规则匹配的数据包。例如，设置默认策略为丢弃所有数据包：

bash

iptables-PINPUTDROP

iptables-PFORWARDDROP

iptables-POUTPUTACCEPT

这将设置INPUT和FORWARD链的默认策略为丢弃（DROP），而将OUTPUT链的默认策略为接受（ACCEPT）。

添加规则

根据需求添加新的规则，以下是一些常见的规则示例：

允许SSH连接：如果服务器需要通过SSH进行管理，必须允许SSH端口（默认为22）的流量。使用以下命令添加规则：

bash

iptables-AINPUT-ptcp--dport22-jACCEPT

这条规则允许目标端口为22的TCP流量通过。

允许HTTP和HTTPS流量：如果服务器运行了Web服务，需要允许HTTP（端口80）和HTTPS（端口443）的流量：

bash

iptables-AINPUT-ptcp--dport80-jACCEPT

iptables-AINPUT-ptcp--dport443-jACCEPT

允许特定IP地址访问：如果希望仅允许特定IP地址访问服务器，可以添加如下规则。例如，允许IP地址为192.168.1.100的设备访问：

bash

iptables-AINPUT-s192.168.1.100-jACCEPT

禁止特定IP地址访问：如果需要禁止某个特定IP地址访问服务器，使用以下命令。例如，禁止IP地址为192.168.1.200的设备访问：

bash

iptables-AINPUT-s192.168.1.200-jDROP

允许特定服务的流量：如果运行了其他服务，如数据库服务（MySQL默认端口为3306），需要允许相应的端口流量。例如：

bash

iptables-AINPUT-ptcp--dport3306-jACCEPT

但请注意，如果数据库仅需要本地访问，应避免开放外部访问。

保存规则

在某些Linux发行版中，如CentOS/RHEL，需要手动保存iptables规则，以便在服务器重启后仍然生效。可以使用以下命令保存规则：

bash

serviceiptablessave

或者，在某些系统中，可能需要使用iptables-save命令将规则保存到指定文件：

bash

iptables-save>/etc/sysconfig/iptables

然后，可以设置系统在启动时自动加载规则，例如在/etc/rc.local文件中添加：

bash

iptables-restore</etc/sysconfig/iptables

注意事项

规则顺序：iptables的规则是按照顺序匹配的，前面的规则会先于后面的规则匹配。因此，规则的顺序非常重要。例如，如果先添加了一条拒绝所有流量的规则，然后再添加允许SSH流量的规则，那么SSH流量将不会被允许，因为它会被前面的拒绝规则拦截。

备份规则：在对规则进行重大修改之前，建议备份当前的规则配置，以便在出现问题时可以快速恢复。可以使用iptables-save命令将规则保存到一个文件中，例如：

bash

iptables-save>/root/iptables_backup.rules

如果需要恢复规则，可以使用iptables-restore命令：

bash

iptables-restore</root/iptables_backup.rules

测试规则：在生产环境中配置iptables规则时，建议先在测试环境中进行测试，以确保规则的正确性和安全性。可以先在非生产服务器上应用规则，观察其对服务和连接的影响，然后再将规则应用到生产服务器。

ICMP流量：通常建议允许ICMP流量（如ping请求），以便进行网络诊断和测试。可以使用以下命令允许ICMP流量：

bash

iptables-AINPUT-picmp-jACCEPT

日志记录（可选）：为了更好地监控和调试iptables规则，可以配置日志记录规则。例如，记录被拒绝的流量：

bash

iptables-AINPUT-jLOG--log-prefix"DROP:"

这将在系统日志中记录被丢弃的数据包信息。日志通常可以通过/var/log/messages或dmesg命令查看。