Debian iptables防火墙如何启用

Debian 启用 iptables 防火墙

一 准备与安装

• 确认或安装工具：iptables 通常已预装，如未安装可执行：sudo apt update && sudo apt install iptables。
• 查看现有规则：sudo iptables -L -n -v。
• 建议先允许本地回环和已建立的连接，避免把自己锁在外面：
  • sudo iptables -A INPUT -i lo -j ACCEPT
  • sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
• 按需放行管理端口（示例为 SSH 22/TCP）：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT。

二 保存规则与开机自启

• 方法一（推荐）使用 iptables-persistent/netfilter-persistent
  1. 安装：sudo apt install iptables-persistent（安装过程中会提示是否保存当前规则，选择“是”）。
  2. 保存/恢复：
     • 保存：sudo netfilter-persistent save 或 sudo iptables-save > /etc/iptables/rules.v4
     • 恢复：sudo netfilter-persistent reload 或 sudo iptables-restore < /etc/iptables/rules.v4
  3. 说明：Debian 10+ 通常使用 netfilter-persistent 服务管理持久化。
• 方法二 使用启动脚本
  1. 创建脚本：sudo tee /etc/network/if-pre-up.d/iptables >/dev/null <<'EOF'
#!/bin/sh
/sbin/iptables-restore < /etc/iptables/rules.v4
EOF
  2. 赋权：sudo chmod +x /etc/network/if-pre-up.d/iptables

三 常用操作与验证

• 查看状态与规则：sudo iptables -L -n -v，必要时 sudo iptables -S。
• 使配置生效：若使用持久化，执行 sudo netfilter-persistent reload；若使用脚本，重启网络或重连即可自动加载。
• 临时调整示例：放行 HTTP/HTTPS
  • sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  • sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
• 重要提示：在将 INPUT 默认策略设为 DROP 前，务必确保已放行 SSH(22/TCP) 等必要端口，且当前 SSH 会话保持连接，避免被立即断开。

四 常见问题与建议

• 规则未持久：未安装或未正确使用 iptables-persistent/netfilter-persistent，或没有在网卡启动前执行恢复脚本。
• 重启后丢失：未执行保存或未启用恢复服务，参考“方法一/二”修复。
• 误锁自己：先放行 22/TCP，再设置默认策略为 DROP，并在本地或带外控制台验证。
• 备份与测试：变更前备份规则 sudo iptables-save > /root/iptables-$(date +%F).bak，变更后在测试环境充分验证。
• 替代方案：若希望更简化管理，可考虑 ufw 或 firewalld；若使用 nftables，规则与持久化方式不同，需单独配置。