iptables怎样进行IP过滤

iptables：Linux防火墙的IP过滤实战指南

说到Linux服务器的安全防护，iptables绝对是绕不开的核心工具。它作为内核防火墙的配置利器，能让你通过命令行精细地控制流量——无论是按IP地址、端口还是协议进行过滤。今天，我们就来聊聊几个最常用、也最基础的IP过滤命令，帮你把好服务器的第一道门。

1. 允许特定IP地址访问

想让某个可信的IP畅通无阻？很简单。比如，只放行IP地址为192.168.1.100的客户端：

iptables -A INPUT -s 192.168.1.100 -j ACCEPT

如果需要放行的是一个连续的IP段，比如从192.168.1.100到192.168.1.200，可以这样操作：

iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT

2. 拒绝特定IP地址访问

反过来，遇到可疑或需要屏蔽的IP，果断拒绝。屏蔽单个IP192.168.1.101的命令如下：

iptables -A INPUT -s 192.168.1.101 -j DROP

同样，屏蔽一个IP范围，例如192.168.1.101至192.168.1.201，可以这样写：

iptables -A INPUT -m iprange --src-range 192.168.1.101-192.168.1.201 -j DROP

3. 允许特定网络访问

有时候，我们需要信任整个子网。例如，允许整个192.168.1.0/24网段的所有主机访问：

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

4. 拒绝特定网络访问

当然，也可以屏蔽整个子网。拒绝192.168.2.0/24网段的所有流量：

iptables -A INPUT -s 192.168.2.0/24 -j DROP

5. 清除所有规则

如果配置乱了想从头再来，或者进行测试前需要一张白纸，这条命令就派上用场了。它会清空所有iptables规则：

iptables -F

6. 保存规则

切记，通过命令行添加的规则默认是临时的，重启就会消失。想让配置永久生效，必须保存。通常将当前规则保存到指定文件：

iptables-sa ve > /etc/iptables/rules.v4

7. 恢复规则

系统重启后，或者需要快速载入之前备份的规则集时，使用恢复命令：

iptables-restore < /etc/iptables/rules.v4

注意事项

• 先备份，再操作：在修改任何规则之前，强烈建议先备份当前的规则集，这是避免操作失误导致服务中断的安全绳。
• 谨慎操作：错误的规则，尤其是误配INPUT链的默认策略，很可能让你把自己“关在门外”，导致服务器无法远程访问。
• 工具选择：对于生产环境，或者觉得命令行太繁琐，可以考虑使用更上层的管理工具，比如ufw（Uncomplicated Firewall）或firewalld，它们提供了更友好的交互方式。

好了，以上这些就是iptables进行IP过滤的基石命令。别看它们简单，通过灵活组合和顺序调整，足以构建出满足日常需求的防火墙策略。掌握了这些，你就已经迈出了成为Linux安全管理员扎实的第一步。