Linux利用iptables与firewalld实现端口访问控制的实战指南

更新时间：2026年02月06日 09:03:46 作者：学亮编程手记

在Linux服务器安全体系中,端口访问控制是基础而关键的一环,无论是保护数据库、Web服务还是API接口,正确的黑白名单配置都能有效防止未授权访问,本文将系统性地讲解端口访问控制的原理、实践和排错方法,需要的朋友可以参考下

前言

在Linux服务器安全体系中，端口访问控制是基础而关键的一环。无论是保护数据库、Web服务还是API接口，正确的黑白名单配置都能有效防止未授权访问。然而，从简单的iptables命令到复杂的Docker环境集成，许多管理员在实践中会遇到各种“坑”。本文将系统性地讲解端口访问控制的原理、实践和排错方法。

一、核心概念：理解防火墙的工作方式

1.1 iptables三层过滤体系

iptables工作在Linux内核网络栈，通过表和链的层级结构过滤数据包：

数据包 → 原始表(PREROUTING) → 过滤表(FORWARD) → 网络地址转换表(POSTROUTING)
                        ↓
                   过滤表(INPUT/OUTPUT)

对于端口访问控制，我们主要操作过滤表的INPUT链，它决定了哪些外部连接可以访问本机服务。

1.2 规则的匹配原则

这是最容易被误解的部分，请务必记住：

iptables规则从上到下顺序匹配，一旦匹配成功就立即执行对应动作，后续规则不再检查。

这就像公司的门禁系统：如果第一条规则说“拒绝所有人进入”，那么后面再说“允许张三进入”就毫无意义了。

二、iptables实战：从入门到精通

2.1 基础命令速查

# 查看规则（显示编号便于管理）
iptables -L INPUT -n --line-numbers

# 追加规则到链末尾
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 插入规则到链开头
iptables -I INPUT -p tcp --dport 22 -j ACCEPT

# 插入到指定位置（如第3条规则前）
iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT

# 删除指定规则
iptables -D INPUT 3

# 清空所有规则
iptables -F INPUT

2.2 典型白名单配置

让我们通过一个MySQL防护的完整案例来理解：

#!/bin/bash
# mysql_whitelist.sh - MySQL端口安全加固脚本

PORT=3306
WHITELIST=("192.168.1.100" "192.168.1.101" "10.0.0.50")

echo "正在配置MySQL端口($PORT)白名单..."

# 步骤1：备份当前规则
iptables-save > /etc/iptables.backup.$(date +%Y%m%d_%H%M%S)

# 步骤2：清除旧规则（避免重复）
iptables -D INPUT -p tcp --dport $PORT -j DROP 2>/dev/null || true
for ip in "${WHITELIST[@]}"; do
    iptables -D INPUT -p tcp --dport $PORT -s $ip -j ACCEPT 2>/dev/null || true
done

# 步骤3：按正确顺序添加规则
# 3.1 允许本地回环（必须）
iptables -I INPUT -i lo -j ACCEPT

# 3.2 允许已建立的连接（防止断开当前会话）
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 3.3 添加白名单IP
for ip in "${WHITELIST[@]}"; do
    iptables -A INPUT -p tcp --dport $PORT -s $ip -j ACCEPT
    echo "  ✓ 允许IP: $ip"
done

# 3.4 拒绝其他所有访问（这条规则必须最后添加！）
iptables -A INPUT -p tcp --dport $PORT -j DROP
echo "  ✗ 拒绝其他所有IP访问"

# 步骤4：保存配置
iptables-save > /etc/sysconfig/iptables

# 步骤5：验证配置
echo -e "\n验证规则顺序："
iptables -L INPUT -n --line-numbers | grep -E "(dpt:$PORT|policy)"

关键点：注意ACCEPT规则在DROP规则之前，这是保证白名单生效的前提。

2.3 经典错误案例解析

场景：管理员想先禁止所有访问，再开放特定IP，结果白名单失效。

# ❌ 错误做法（常见陷阱）
iptables -A INPUT -p tcp --dport 3306 -j DROP      # 规则1：拒绝所有
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT  # 规则2：允许特定IP（永远不会执行！）

# ✅ 正确做法
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT  # 规则1：允许特定IP
iptables -A INPUT -p tcp --dport 3306 -j DROP      # 规则2：拒绝其他

诊断技巧：

# 查看规则匹配计数器，如果ACCEPT规则计数为0，说明从未匹配
iptables -L INPUT -n -v

三、Docker环境的特殊挑战

当容器技术遇上防火墙，情况变得复杂。Docker默认会修改iptables规则，这可能导致你的配置失效。

3.1 Docker的网络管理机制

Docker启动时默认会：

创建DOCKER、DOCKER-USER、DOCKER-ISOLATION等自定义链
在FORWARD链中插入跳转规则
为端口映射创建NAT规则

# 查看Docker创建的链
iptables -L -n | grep -i docker

# 典型输出示例：
# Chain DOCKER (1 references)
# Chain DOCKER-ISOLATION (1 references)
# Chain DOCKER-USER (1 references)

3.2 方案一：使用DOCKER-USER链（推荐）

Docker 19.03+ 版本引入了DOCKER-USER链，专门用于用户自定义规则，且不会被Docker覆盖。

#!/bin/bash
# docker_whitelist.sh - Docker容器端口白名单

CONTAINER_PORT=80
HOST_PORT=8080
WHITELIST=("192.168.1.100" "192.168.1.0/24")

echo "配置Docker容器端口白名单..."
echo "容器端口: $CONTAINER_PORT, 主机端口: $HOST_PORT"

# 清空DOCKER-USER链（注意：不影响其他Docker规则）
iptables -F DOCKER-USER

# 添加基础规则
iptables -A DOCKER-USER -i lo -j ACCEPT
iptables -A DOCKER-USER -m state --state ESTABLISHED,RELATED -j ACCEPT

# 添加白名单
for ip in "${WHITELIST[@]}"; do
    iptables -A DOCKER-USER -p tcp --dport $HOST_PORT -s $ip -j ACCEPT
    echo "  ✓ 允许 $ip 访问端口 $HOST_PORT"
done

# 拒绝其他所有访问
iptables -A DOCKER-USER -p tcp --dport $HOST_PORT -j DROP
echo "  ✗ 拒绝其他IP访问"

# 查看结果
echo -e "\n当前DOCKER-USER链规则："
iptables -L DOCKER-USER -n --line-numbers

3.3 方案二：直接管理INPUT链（无DOCKER链时）

如果系统没有DOCKER链（可能因为Docker配置或版本原因），可以像管理普通服务一样操作：

# 检查是否有DOCKER链
if ! iptables -L -n | grep -q "Chain DOCKER"; then
    echo "系统无DOCKER链，直接配置INPUT链"
    
    # 允许特定IP访问Docker映射的端口
    iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.100 -j ACCEPT
    iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT
    
    # 拒绝其他
    iptables -A INPUT -p tcp --dport 8080 -j DROP
fi

3.4 方案三：Docker原生限制（简单场景）

对于简单的IP限制，可以在运行容器时直接指定：

# 只允许特定IP访问
docker run -d \
  --name myapp \
  -p 192.168.1.100:8080:80 \
  nginx

# 允许多个IP访问
docker run -d \
  --name myapp \
  -p 192.168.1.100:8080:80 \
  -p 192.168.1.101:8080:80 \
  nginx

四、firewalld：现代化的防火墙管理

对于需要动态管理规则的环境，firewalld提供了更友好的接口。

4.1 firewalld核心概念

Zone（区域）：预定义的信任级别（public、home、internal等）
Rich Rule（富规则）：功能强大的规则语法
运行时配置：支持动态修改，无需重启服务

4.2 常用命令示例

# 查看当前配置
firewall-cmd --get-default-zone
firewall-cmd --list-all

# 添加富规则（永久生效）
firewall-cmd --permanent --add-rich-rule='
  rule family="ipv4"
  source address="192.168.1.100"
  port port="3306" protocol="tcp"
  accept'

# 允许多个IP
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'

# 添加黑名单
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.0.113.10" reject'

# 重新加载（不中断现有连接）
firewall-cmd --reload

4.3 与Docker集成

# 方法1：直接允许端口访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="8080" protocol="tcp" accept'

# 方法2：使用端口转发（更灵活）
firewall-cmd --permanent --add-rich-rule='
  rule family="ipv4"
  source address="192.168.1.100"
  forward-port port="8080" protocol="tcp" to-port="80"'

五、高级优化技巧

5.1 使用ipset管理大量IP

当白名单包含成百上千个IP时，使用ipset可以显著提升性能：

# 创建ipset集合
ipset create mysql_whitelist hash:ip

# 批量添加IP
for ip in {1..100}; do
    ipset add mysql_whitelist 192.168.1.$ip
done

# 添加网段
ipset add mysql_whitelist 10.0.0.0/24

# 在iptables中使用
iptables -A INPUT -p tcp --dport 3306 -m set --match-set mysql_whitelist src -j ACCEPT

# 保存配置
ipset save > /etc/ipset.conf

5.2 自动化管理脚本

#!/bin/bash
# firewall_manager.sh - 智能防火墙管理

set -euo pipefail

readonly LOG_FILE="/var/log/firewall_manager.log"
readonly BACKUP_DIR="/etc/iptables/backup"

log() {
    echo "[$(date '+%Y-%m-%d %H:%M:%S')] $*" | tee -a "$LOG_FILE"
}

backup_rules() {
    mkdir -p "$BACKUP_DIR"
    local backup_file="$BACKUP_DIR/iptables_$(date +%Y%m%d_%H%M%S).rules"
    iptables-save > "$backup_file"
    log "规则已备份到: $backup_file"
}

whitelist_port() {
    local port=$1
    shift
    local ips=("$@")
    
    log "开始配置端口 $port 白名单"
    backup_rules
    
    # 清理旧规则
    iptables -D INPUT -p tcp --dport "$port" -j DROP 2>/dev/null || true
    
    # 添加新规则
    for ip in "${ips[@]}"; do
        if ! iptables -C INPUT -p tcp --dport "$port" -s "$ip" -j ACCEPT 2>/dev/null; then
            iptables -A INPUT -p tcp --dport "$port" -s "$ip" -j ACCEPT
            log "添加白名单: $ip -> 端口 $port"
        fi
    done
    
    # 添加拒绝规则（确保在最后）
    iptables -A INPUT -p tcp --dport "$port" -j DROP
    
    # 保存
    iptables-save > /etc/sysconfig/iptables
    log "配置完成"
}

# 使用示例
whitelist_port 3306 "192.168.1.100" "192.168.1.101" "10.0.0.50"

六、故障排查与恢复

6.1 诊断工具箱

# 1. 检查规则顺序和匹配计数
iptables -L INPUT -n -v --line-numbers

# 2. 实时监控规则匹配
watch -n 1 'iptables -L INPUT -n -v | grep :3306'

# 3. 测试连接并观察计数变化
timeout 5 nc -zv 服务器IP 3306 && echo "连接成功" || echo "连接失败"

# 4. 查看详细日志（如果有LOG规则）
iptables -A INPUT -p tcp --dport 3306 -j LOG --log-prefix "[IPTABLES-DENY] "
tail -f /var/log/messages | grep IPTABLES-DENY

# 5. 检查Docker相关规则
iptables -t nat -L -n
iptables -L FORWARD -n -v

6.2 紧急恢复方案

如果配置错误导致自己被锁定，可以通过以下方式恢复：

方案A：通过服务器控制台

# 清空所有规则（谨慎使用）
iptables -F
iptables -P INPUT ACCEPT

# 或者只恢复SSH访问
iptables -I INPUT -p tcp --dport 22 -j ACCEPT

方案B：使用预置的恢复脚本

#!/bin/bash
# emergency_recovery.sh - 防火墙紧急恢复

# 创建恢复标记
touch /tmp/firewall_recovery_mode

# 设置宽松策略
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# 清空所有规则
iptables -F
iptables -t nat -F
iptables -t mangle -F

# 允许基本服务
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "紧急恢复完成，请重新配置防火墙"

6.3 常见问题解答

Q1：为什么添加了ACCEPT规则还是无法访问？
A：检查规则顺序，确保ACCEPT在DROP之前；检查默认策略；确认端口监听正常。

Q2：Docker容器规则重启后丢失？
A：Docker重启会重建规则，将自定义规则放在DOCKER-USER链中。

Q3：如何让iptables规则永久生效？

# CentOS/RHEL
iptables-save > /etc/sysconfig/iptables
systemctl enable iptables

# Debian/Ubuntu
iptables-save > /etc/iptables/rules.v4
apt-get install iptables-persistent

Q4：如何管理大量端口和IP？
A：使用配置管理工具（Ansible/SaltStack）或编写管理脚本，避免手动操作。

七、最佳实践总结

7.1 安全原则

最小权限原则：只开放必要的端口给必要的IP
默认拒绝策略：设置iptables -P INPUT DROP，显式允许
分层防护：结合网络层、主机层、应用层防护
变更管理：任何规则变更前备份、测试、记录

7.2 操作规范

使用版本控制：将iptables规则纳入Git管理
注释说明：为复杂规则添加注释

iptables -A INPUT -p tcp --dport 3306 -s 10.0.0.50 -j ACCEPT -m comment --comment "允许DBA服务器访问MySQL"

定期审计：每月检查一次规则，清理无效条目
监控告警：设置规则变更告警和异常访问告警

7.3 配置示例模板

#!/bin/bash
# production_firewall_template.sh - 生产环境防火墙模板

set -e

# 备份
backup_rules() {
    iptables-save > /etc/iptables/backup/prod_$(date +%s).rules
}

# 初始化
init_firewall() {
    # 设置默认策略
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    
    # 基础规则
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # ICMP（根据需要）
    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
}

# 服务规则
setup_services() {
    # SSH（限制IP段）
    iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/8 -j ACCEPT
    
    # Web服务
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    
    # 数据库（严格白名单）
    local db_ips=("192.168.1.100" "192.168.1.101")
    for ip in "${db_ips[@]}"; do
        iptables -A INPUT -p tcp --dport 3306 -s "$ip" -j ACCEPT
    done
    iptables -A INPUT -p tcp --dport 3306 -j DROP
}

# 执行
backup_rules
init_firewall
setup_services

# 保存
iptables-save > /etc/sysconfig/iptables
echo "防火墙配置完成"

结语

端口访问控制是Linux系统安全的基石，但也是一把双刃剑。配置得当，它能有效阻挡攻击；配置失误，可能导致服务中断。掌握iptables和firewalld的核心原理，遵循最佳实践，结合自动化工具，你就能构建既安全又可靠的防火墙体系。

记住：测试、备份、渐进式变更是防火墙管理的三大黄金法则。每次变更前问自己三个问题：

这个规则真的必要吗？
会不会阻断正常业务？
如果出问题，如何快速恢复？

安全之路，始于足下。从正确配置第一个端口白名单开始，逐步构建完善的防御体系。

以上就是Linux端口访问控制iptables与firewalld的实战指南的详细内容，更多关于Linux端口访问控制iptables与firewalld的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

Linux 中的防火墙 ufw 简介
ufw（简单防火墙Uncomplicated FireWall）真正地简化了 iptables，它从出现的这几年，已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。这篇文章主要介绍了Linux 防火墙 ufw 简介,需要的朋友可以参考下
2020-04-04
Linux命令之ifconfig使用详解
这篇文章主要介绍了Linux命令之ifconfig使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2024-08-08
将宝塔面板linux版装在/www以外的目录的方法
很多云VPS系统盘，也就是根目录（系统盘）都是10个G，宝塔安装完整环境基本5个G没有了，用了不到几个月，随着日志文件等乱七八糟的东西增加，面板就提示根目录低于1个G，随后mysql就莫名其妙挂掉，这里就为大家分享一下将面板安装到别的目录的方法
2018-05-05
Linux Bash调用Python和Java代码过程
本文介绍了如何在Linux和Windows系统中使用Bash调用Python和Java程序,并详细解释了Bash脚本中的命令与路径判断、调用Python和Java代码以及重点语法解析
2025-11-11
一条命令让你明白shell中read命令的常用参数
今天小编就为大家分享一篇关于一条命令让你明白shell中read命令的常用参数，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
2019-03-03
Linux下ZooKeeper分布式集群安装教程
这篇文章主要为大家详细介绍了Linux下ZooKeeper分布式集群安装教程，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-12-12
Apache POI的基本使用详解
Apache POI是由Apache公司提佛那个的Java编写的免费开源的跨平台Java API，提供对Microsoft Office格式文件的读和写的功能。本文向大家介绍Apache POI的基本使用，感兴趣的朋友一起看看吧
2021-11-11
CentOS 6.5配置本地Yum源教程
这篇文章主要为大家详细介绍了CentOS 6.5配置本地Yum源教程，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-04-04
学习Centos7软raid5的挂载
本篇文章给大家通过详细步骤介绍了Centos7软raid5的挂载的方法，有需要的读者们学习下吧。
2018-02-02
linux里面软连接的创建与删除方式
软连接（SymbolicLink）在Linux/Unix系统中类似于Windows的快捷方式,用于创建一个指向另一个文件或目录的引用,它可以便捷访问、版本管理、节省空间和跨文件系统,使用`ln -s`命令创建软连接,删除时使用`rm`命令,注意路径和权限
2026-01-01