如何利用iptables提升服務器安全性

一、基礎安全配置：構建安全框架

1. 設置默認策略為拒絕
將INPUT、FORWARD鏈的默認策略設為DROP，僅允許明確授權的流量通過，避免因規則遺漏導致未授權訪問。同時，設置OUTPUT鏈為ACCEPT（若服務器無需限制出站流量）。

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

2. 允許本地回環通信
本地回環接口（lo）用于本地進程間通信（如數據庫、Web服務等），必須允許其流量，否則會導致本地服務無法正常運行。

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

3. 允許已建立和相關的連接
通過conntrack模塊識別已建立的連接（ESTABLISHED）和相關連接（RELATED，如FTP數據連接），允許其流量通過，確保正常業務不受影響。

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

二、服務訪問控制：精細化權限管理

1. 限制SSH訪問
SSH是遠程管理的關鍵服務，需嚴格控制訪問來源。建議僅允許特定IP地址（如公司內網、運維人員IP）訪問SSH端口（默認22），并限制并發連接數以防止暴力破解。

# 僅允許10.0.0.0/24網段訪問SSH
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 限制每個IP每分鐘最多新建3個SSH連接
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

2. 開放必要業務端口
根據服務器業務需求，僅開放必需的服務端口（如HTTP的80端口、HTTPS的443端口、DNS的53端口），并合并相同協議的端口以減少規則數量。

# 開放HTTP/HTTPS服務
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

# 允許DNS查詢（UDP/TCP）
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT

三、網絡攻擊防護：針對性防御策略

1. 防范SYN Flood攻擊
SYN Flood是常見的DDoS攻擊手段，通過限制SYN包的速率和數量，減輕服務器負擔。

# 創建syn_flood鏈
iptables -N syn_flood
# 允許正常SYN包（每秒10個，突發20個）
iptables -A syn_flood -m limit --limit 10/s --limit-burst 20 -j RETURN
# 丟棄超出限制的SYN包
iptables -A syn_flood -j DROP
# 將SYN包引入syn_flood鏈
iptables -A INPUT -p tcp --syn -j syn_flood

2. 防止端口掃描
端口掃描是攻擊者探測服務器服務的重要手段，通過檢測異常的TCP連接請求（如RST包），限制掃描行為。

# 創建port_scanning鏈
iptables -N port_scanning
# 允許正常RST包（每秒1個，突發2個）
iptables -A port_scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN
# 丟棄超出限制的RST包
iptables -A port_scanning -j DROP
# 將可疑TCP包引入port_scanning鏈
iptables -A INPUT -p tcp -j port_scanning

3. 記錄并丟棄無效包
無效包（如INVALID狀態的包）可能是攻擊或網絡異常的表現，記錄此類包有助于后續分析，同時避免其占用資源。

iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID packet: " --log-level 7
iptables -A INPUT -m state --state INVALID -j DROP

四、日志與監控：實現可追溯性

1. 記錄被拒絕的連接
通過日志記錄被防火墻拒絕的流量，便于及時發現異常攻擊（如頻繁的SSH登錄嘗試、非法端口掃描）。建議限制日志速率，避免日志文件過大。

# 記錄被拒絕的輸入連接（每分鐘5條）
iptables -A INPUT -j LOG --log-prefix "iptables-Dropped: " --log-level 4

2. 分析規則效率
使用iptables -L -v命令查看規則的數據包計數，識別命中率低的規則（如很少匹配到的規則），及時優化或刪除，提升防火墻性能。

iptables -L -v -n

五、性能優化：提升處理效率

1. 減少規則數量
合并相似規則（如用multiport模塊合并多個端口），刪除不再使用的規則，降低防火墻的匹配負擔。

# 合并80和443端口規則
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

2. 使用狀態檢測
優先匹配conntrack狀態（如ESTABLISHED），減少后續規則的匹配次數，顯著提升性能。

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

3. 合理使用自定義鏈
將功能相關的規則放入自定義鏈（如ssh_allow、http_filter），在主鏈中統一調用，使規則結構更清晰，提升匹配效率。

# 創建ssh_allow鏈
iptables -N ssh_allow
# 添加SSH允許規則
iptables -A ssh_allow -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT
# 在主鏈中調用自定義鏈
iptables -A INPUT -j ssh_allow

六、高級技巧：增強防護能力

1. 使用IP集批量管理地址
對于需要頻繁更新的IP列表（如允許訪問的IP段），使用ipset模塊批量管理，減少規則數量，提升匹配效率。

# 創建名為trusted_ips的IP集
ipset create trusted_ips hash:ip
# 添加IP到集合
ipset add trusted_ips 10.0.0.1
ipset add trusted_ips 10.0.0.2
# 使用IP集匹配規則
iptables -A INPUT -m set --match-set trusted_ips src -j ACCEPT

2. 調整內核參數優化性能
通過調整內核參數，提升TCP棧的性能，適應高并發場景。

# 增加最大SYN隊列長度
echo "net.ipv4.tcp_max_syn_backlog = 2048" >> /etc/sysctl.conf
# 調整TCP內存使用
echo "net.ipv4.tcp_mem = 4096 65536 8192" >> /etc/sysctl.conf
# 應用內核參數
sysctl -p

通過以上配置，可實現從基礎防護到高級防御的全方位服務器安全加固，有效抵御常見網絡攻擊（如DDoS、端口掃描、暴力破解），同時保證業務的正常運行。需注意的是，規則應根據業務需求定期調整，避免過度限制或遺漏風險。