使用海外云服务器时，宝塔面板作为可视化管理工具，能大幅降低运维门槛。而iptables作为Linux系统核心防火墙组件，其规则配置直接关系服务器安全与服务可用性。本文结合实际运维场景，整理3个高频iptables规则修改案例，手把手教你通过宝塔面板或命令行解决常见网络访问问题。

实战案例1：开放Web应用端口（8080）的正确姿势

遇到的问题

在海外云服务器上部署了一个测试用的Web应用，端口设为8080，但外部用户始终无法访问页面，ping服务器IP却能通。

问题排查

这种情况十有八九是防火墙拦截了请求。可通过两种方式确认：一是登录宝塔面板，进入「防火墙」模块查看已放行端口列表，若8080不在其中，基本可锁定问题；二是通过服务器终端执行`iptables -L -n`命令，检查INPUT链中是否有针对8080端口的DROP规则。

解决方案

- 宝塔面板操作：进入防火墙页面，点击「放行端口」，输入8080，协议选TCP（HTTP默认用TCP），点击确定即可实时生效。
- 命令行操作：若习惯用终端，执行以下命令直接添加规则：

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

注意：修改后需执行`service iptables save`保存规则，否则服务器重启后规则会丢失。

实战案例2：拦截恶意IP的暴力破解攻击

异常现象

查看服务器SSH登录日志（路径：`/var/log/secure`）时，发现某IP（如123.45.67.89）1小时内尝试登录200次，明显是暴力破解攻击。

确认威胁

通过日志时间戳和IP频率分析，该IP无正常访问记录，且尝试的用户名多为常见弱口令（如root），可判定为恶意攻击源。

处理方法

- 宝塔面板操作：在防火墙模块点击「禁止IP」，输入123.45.67.89，选择「永久禁止」，系统会自动添加DROP规则。
- 命令行操作：直接执行命令封禁该IP所有入站连接：

iptables -A INPUT -s 123.45.67.89 -j DROP

同样需执行`service iptables save`保存规则，避免重启失效。

实战案例3：仅允许公司内网访问SSH服务

需求场景

为提升SSH（默认22端口）访问安全性，希望只有公司内网（如192.168.1.0/24网段）能连接，其他外部IP禁止访问。

前提检查

先确认SSH服务本身运行正常（`systemctl status sshd`查看状态），再通过`iptables -L -n`检查当前是否有22端口的放行规则，避免冲突。

配置步骤

- 宝塔面板操作：防火墙页面点击「放行IP段」，输入192.168.1.0/24，协议选TCP，端口填22，点击确定；随后在「禁止端口」中添加22端口（协议TCP），确保非内网IP无法连接。
- 命令行操作：分两步设置规则（注意顺序！）：

# 先放行内网网段的22端口访问
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
再禁止其他所有IP访问22端口
iptables -A INPUT -p tcp --dport 22 -j DROP

规则顺序很关键！iptables按从上到下的顺序匹配，若先写DROP再写ACCEPT，内网也会被拦截。最后记得保存规则。

运维注意事项

修改iptables规则时，有两个细节容易踩坑：一是规则顺序，优先放行允许的IP/端口，再设置拒绝规则；二是避免误封，封禁前最好通过日志确认IP是否真的异常，防止误断正常业务连接。

掌握这3个案例，基本能应对海外云服务器日常运维中90%的iptables规则修改需求。无论是用宝塔面板的可视化操作，还是命令行的精准控制，核心都是根据业务需求灵活调整防火墙策略，在安全与可用性之间找到平衡。