iptables 混乱处理大法

发表于 2024-04-27 更新于 2024-09-25 分类于运维阅读次数：本文字数： 1.6k 阅读时长 ≈ 6 分钟

在使用Linux系统的过程中，由于误操作或第三方软件（例如Docker）的介入，经常会发现iptables规则被意外修改，导致某些功能不按预期工作。例如，即使添加了相应的规则，它们也可能不生效。在清楚了解本机环境和服务的情况下，一个有效的解决策略是清空所有规则并重新添加。

背景

在实际使用中，iptables表可能会被误操作或其他软件影响。例如，Docker运行时会自动修改iptables规则以确保容器通信，这可能会覆盖或干扰用户自定义的规则。如果遇到添加规则后不生效的情况，推荐的解决方法是彻底清空所有规则，然后从头开始构建。

步骤与注意事项

清空所有现有规则

清空所有规则是开始重置网络配置的第一步。这可以确保没有遗留的规则影响新的配置。

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

按行号删除规则

在某些情况下，你可能需要删除特定的规则。通过使用行号，可以精确指定并删除iptables中的规则。

查看规则及其行号

首先，查看具体的规则及其行号，以便知道哪条规则需要删除：

iptables -L --line-numbers

删除指定行号的规则

一旦确定了要删除的规则的行号，使用以下命令进行删除：

iptables -D INPUT [行号]

替换[行号]为实际的行号。

查看不同类型的规则

iptables包含多个表，每个表用于不同类型的流量处理。查看这些不同表的规则是理解整个网络策略的关键部分。

查看默认表（filter）

iptables -L

查看NAT表

iptables -t nat -L

查看mangle表

iptables -t mangle -L

这些命令显示了每个表中的所有规则，包括链（如INPUT, FORWARD, OUTPUT等）和每条规则的具体动作。

总结

综上所述，管理iptables规则包括了添加、删除、查看规则以及备份和恢复配置。正确地管理这些规则对于维护系统安全极为重要。务必按需定期进行规则的审查和更新，以保持网络环境的安全和效率。通过这种方式，iptables不仅能够满足当前的安全需求，还能适应未来潜在的变化和挑战。

设置默认策略

一旦清空了规则，下一步是设置合理的默认策略。这可以帮助控制未明确匹配到任何规则的流量。

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

允许基本通信

为了保证基本的网络功能和管理访问，需要明确允许某些基本通信。

允许SSH访问

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许来自本地接口的数据

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

允许已建立的和相关的连接

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

添加自定义规则

恢复默认规则后，可以根据具体需要添加业务相关的自定义规则。

基本的Web服务访问

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

特定的业务端口，例如某应用使用的8080端口

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

配置NAT规则

获取网卡名称:

ip route show | sed -n 's/^default.* dev \([^ ]*\).*/\1/p'

然后使用该网卡设置NAT转发:

iptables -t nat -A POSTROUTING -o [网卡名] -j MASQUERADE

或

iptables -t nat -A POSTROUTING -s 192.168.90.0/24 -o $(ip route show | sed -n 's/^default.* dev \([^ ]*\).*/\1/p') -j MASQUERADE

配置转发

iptables -A FORWARD -s 192.168.90.0/24 -j ACCEPT 
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

持久化配置

别忘了在配置完成后，使用iptables-save或相关工具持久化iptables规则，以防重启后丢失

sudo sh -c "iptables-save > /etc/iptables/rules.v4"

结论

通过彻底清空iptables规则并重新配置，可以解决由于误操作或软件干扰导致的网络安全策略问题。务必注意操作顺序，特别是要先放行重要的管理端口如SSH，以避免从远程管理中断。

测试和验证规则

一旦配置了iptables规则，重要的是要验证每条规则是否按预期工作。你可以通过尝试访问被允许的服务，或尝试被拒绝的连接，来检查iptables规则是否正确执行。

测试HTTP服务是否可访问

curl http://your-server-ip

检查被拒绝的服务（假设没有放行的端口）

curl http://your-server-ip:未放行端口

日志记录

为了更好地监控和诊断，可以为iptables配置日志规则，这样当规则触发时，相关信息会被记录到系统日志中。

为拒绝的输入添加日志记录

iptables -A INPUT -j LOG --log-prefix "IPTables-Denied: " --log-level 4

这能帮助你了解哪些尝试被拒绝，便于调整规则或排查潜在的安全问题。

备份和恢复

在完成所有规则的设置和验证后，进行备份是一个好习惯。这样在系统出现问题或需要迁移到其他服务器时，可以快速恢复iptables配置。

备份iptables规则

iptables-save > /root/iptables.rules.bak

恢复iptables规则

iptables-restore < /root/iptables.rules.bak

定期审查和更新

随着系统环境和业务需求的变化，定期审查iptables规则是必要的。这可以确保规则仍然适用于当前的网络环境和安全需求。建议至少每季度审查一次规则设置。

结论

维护一个清晰、有效的iptables配置是保障Linux服务器安全的重要步骤。通过系统地清空、配置、测试和审查iptables规则，你可以确保网络通信的安全性和效率。记住，网络安全是一个持续的过程，需要定期的注意和更新以应对新的挑战。

通过上述详尽的步骤，你可以确保iptables的配置不仅能满足当前的需求，而且具有足够的灵活性来应对未来可能出现的各种情况。