您是否正在为您的VPS寻找完整的 iptables 教程？留在原地。在本文中，我们将向您展示如何在 Ubuntu 系统上安装和使用 iptables。通过了解这个 Linux 防火墙工具，您可以使用命令行界面保护您的 VPS 。

什么是 iptables，它是如何工作的？

简单来说，iptables 是一个 Linux 的防火墙程序。它将使用表监视进出您的服务器的流量。这些表包含一组规则，称为链，将过滤传入和传出的数据包。

当一个数据包匹配一个规则时，它会被赋予一个目标，它可以是另一个链或这些特殊值之一：

• ACCEPT – 将允许数据包通过。
• DROP – 不会让数据包通过。
• RETURN - 停止数据包遍历链并告诉它返回到前一个链。

在本 iptables 教程中，我们将使用一个名为filter的默认表。它由三个链组成：

• INPUT – 控制传入服务器的数据包。
• FORWARD - 过滤将被转发到其他地方的传入数据包。
• OUTPUT - 过滤从您的服务器发出的数据包。

在开始本指南之前，请确保您对在 Ubuntu 16.04 或更高版本上运行的计算机具有 SSH root或sudo访问权限。您可以通过 PuTTY (Windows) 或终端 shell（Linux、macOS）建立连接。如果您拥有 Hostinger VPS，您可以在 hPanel 的 Servers 选项卡上获取 SSH 登录详细信息。

重要的！iptables 规则仅适用于ipv4。如果要为ipv6协议设置防火墙，则需要改用ip6tables。

如何安装和使用 iptables Linux 防火墙

我们将把这个 iptables 教程分为三个步骤。首先，您将学习如何在 Ubuntu 上安装该工具。其次，我们将向您展示如何定义规则。最后，我们将指导您在 iptables 中进行持久更改。

第 1 步 — 安装 iptables

iptables 预装在大多数 Linux 发行版中。但是，如果您在 Ubuntu/Debian 系统中默认没有它，请按照以下步骤操作：

1. 通过 SSH 连接到您的服务器。如果您不知道，可以阅读我们的SSH 教程。
2. 一一执行以下命令：

sudo apt-get 
sudo apt-get install iptables

3. 通过运行以下命令检查当前 iptables 配置的状态：

sudo iptables -L -v

4. 这里，-L选项用于列出所有规则，-v 用于以更详细的格式显示信息。下面是示例输出：

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in out   source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in out   source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in out   source destination

您现在将安装 Linux 防火墙。此时，您可以注意到所有链都设置为ACCEPT并且没有规则。这是不安全的，因为任何数据包都可以在没有过滤的情况下通过。

不用担心。我们将在 iptables 教程的下一步中告诉您如何定义规则。

第 2 步 – 定义链式规则

定义规则意味着将其附加到链中。为此，您需要在 iptables 命令之后插入-A选项（Append ），如下所示：

sudo iptables -A

它会提醒 iptables 您正在向链中添加新规则。然后，您可以将该命令与其他选项结合使用，例如：

• -i ( interface ) — 要过滤其流量的网络接口，例如 eth0、lo、ppp0 等。
• -p (协议) — 发生过滤过程的网络协议。它可以是tcp、udp、udplite、icmp、sctp、icmpv6等。或者，您可以键入all以选择每个协议。
• -s ( source ) — 流量的来源地址。您可以添加主机名或 IP 地址。
• –dport ( destination port ) — 协议的目标端口号，如22 ( SSH )、443 ( https ) 等。
• -j ( target ) — 目标名称 ( ACCEPT , DROP , RETURN )。每次制定新规则时都需要插入它。

如果要全部使用，则必须按以下顺序编写命令：

sudo iptables -A <chain> -i <interface> -p <protocol (tcp/udp) > -s <source> --dport <port no.> -j <target>

一旦你理解了基本语法，你就可以开始配置防火墙来为你的服务器提供更多的安全性。对于本 iptables 教程，我们将使用INPUT链作为示例。

在 localhost 上启用流量

要允许 localhost 上的流量，请键入以下命令：

sudo iptables -A INPUT -i lo -j ACCEPT

对于这个 iptables 教程，我们使用lo或loopback接口。它用于本地主机上的所有通信。上面的命令将确保同一台机器上的数据库和 Web 应用程序之间的连接正常工作。

在 HTTP、SSH 和 SSL 端口上启用连接

接下来，我们希望http（端口80）、https（端口443）和ssh（端口22）连接正常工作。为此，我们需要指定协议 ( -p ) 和相应的端口 ( -dport )。您可以一一执行这些命令：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

是时候检查是否在 iptables 中附加了规则：

sudo iptables -L -v

它应该返回以下结果，这意味着来自指定端口的所有 TCP 协议连接都将被接受：

根据来源过滤数据包

iptables 允许您根据 IP 地址或 IP 地址范围过滤数据包。您需要在-s选项之后指定它。例如，要接受来自192.168.1.3的数据包，命令将是：

sudo iptables -A INPUT -s 192.168.1.3 -j ACCEPT

您还可以通过将ACCEPT目标替换为DROP来拒绝来自特定 IP 地址的数据包。

sudo iptables -A INPUT -s 192.168.1.3 -j DROP

如果你想从一系列 IP 地址中丢弃数据包，你必须使用-m选项和iprange模块。然后，使用–src-range指定 IP 地址范围。请记住，连字符应分隔 ip 地址范围而没有空格，如下所示：

sudo iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j DROP

丢弃所有其他流量

在定义–dport规则后，对所有其他流量使用DROP目标至关重要。这将防止未经授权的连接通过其他开放端口访问服务器。为此，只需键入：

sudo iptables -A INPUT -j DROP

现在，指定端口外的连接将被丢弃。

删除规则

如果要删除所有规则并从头开始，可以使用-F选项（flush）：

sudo iptables -F

此命令清除所有当前规则。但是，要删除特定规则，您必须使用 -D 选项。首先，您需要通过输入以下命令来查看所有可用规则：

sudo iptables -L --line-numbers

您将获得带有数字的规则列表：

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination

1    ACCEPT     all -- 192.168.0.4          anywhere
2    ACCEPT     tcp -- anywhere             anywhere tcp dpt:https
3    ACCEPT     tcp -- anywhere             anywhere tcp dpt:http
4    ACCEPT     tcp -- anywhere             anywhere tcp dpt:ssh

要删除规则，请从列表中插入相应的链和编号。假设对于这个 iptables 教程，我们想要摆脱INPUT链的第三条规则。命令应该是：

sudo iptables -D INPUT 3

第 3 步 - 持续更改

我们创建的 iptables 规则保存在内存中。这意味着我们必须在重新启动时重新定义它们。要在重新启动服务器后使这些更改保持不变，您可以使用以下命令：

sudo /sbin/iptables-save

它将当前规则保存在系统配置文件中，用于在每次服务器重新启动时重新配置表。

请注意，每次更改规则时都应始终运行此命令。例如，如果要禁用 iptables，则需要执行以下两行：

sudo iptables -F
sudo /sbin/iptables-save

您将看到以下结果：

结论

iptables 是一个强大的防火墙程序，您可以使用它来保护您的 Linux 服务器或 VPS。很棒的是，您可以根据自己的喜好定义各种规则。

在本 iptables 教程中，您学习了如何安装和使用该工具。现在，我们希望您可以管理您的规则集来过滤传入和传出的数据包。

是时候自己测试一下了，祝你好运！