凌晨三点服务器被扫,日志里出现一万条爆破记录,老板还在群里催上线,iptables不会调,只能干瞪眼。
很多人把iptables当成黑盒,敲几条命令就完事,结果一重启规则全丢,黑客从SSH长驱直入。
其实它只有四张表五条链,记住顺序就能保命。
数据包进门先过PREROUTING,这一步决定要不要改地址。
接着看目标,是本机就走INPUT,只是路过就走FORWARD,本机发出去的走OUTPUT,最后统一在POSTROUTING做最后一次改头换面。
顺序不能乱,乱了就等于把大门钥匙挂在门把上。
filter表只管杀不管埋,DROP还是ACCEPT一句话。
nat表才是内网救星,把内网IP藏在外网IP后面,端口映射也靠它。
mangle表能打个标记,QoS限速用得上。
raw表最冷门,跳过连接跟踪,性能能提三成,前提是你真知道自己在干什么。
写规则别一股脑追加,越晚加越靠后,匹配不到就凉。
用-I插到最前面,关键服务先放行,再统一DROP兜底。
记得用iptables-save把规则写进文件,重启不丢。
CentOS 7以上用systemctl enable iptables搞定开机加载。
端口转发一条命令就能搞定:
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT--to-port 80
内网机器想上网:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -jMASQUERADE
别忘记开ip_forward,否则包到半路就掉。
日志要开,但别全开,一秒几千条谁都受不了。
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH: "--log-level 4
这样爆破IP一眼就能抓到,配合fail2ban直接拉黑。
firewalld新手友好,一条firewall-cmd --add-service=http--permanent就能放行80端口,背后还是iptables。会图形界面的还有ufw,Ubuntu默认带,三条命令搞定防火墙。但真要排雷,还是得回到iptables-L -n -v | less,一条条看。
未来nftables会接班,语法更像编程,一条规则能匹配IPv4和IPv6。现在学iptables并不亏,理解包怎么走路,换工具只是换键盘。安全没有银弹,只有不停打补丁和盯日志。