Debian11云服务器iptables防火墙配置指南

云服务器资源有限，网络安全尤为关键。iptables作为Debian11系统内核级防火墙工具，通过规则链控制网络数据包，能有效过滤非法流量。下面从基础操作到高级配置，逐步讲解如何为云服务器搭建可靠的防火墙。

理解iptables规则链

iptables通过INPUT（入站）、OUTPUT（出站）、FORWARD（转发）三条核心链管理流量。每条链由多个规则组成，数据包按顺序匹配规则，匹配成功则执行ACCEPT（允许）或DROP（拒绝）等动作。例如访问云服务器的SSH连接，会先经过INPUT链的规则检查，符合条件才被放行。

初始化规则环境

配置新规则前，建议先清理历史规则避免冲突。使用`iptables -L -n -v`命令可查看当前所有规则，参数`-n`将域名转为IP显示，`-v`输出流量统计等详细信息。若需重置规则：

iptables -F  # 清空所有链的规则
iptables -X  # 删除自定义规则链
iptables -Z  # 重置各链计数器

这三步操作会清除现有策略，需谨慎执行，建议操作前记录原规则。

设置默认安全策略

为最大化云服务器安全，应遵循“拒绝所有+按需开放”原则。执行以下命令设置默认策略：

iptables -P INPUT DROP  # 入站默认拒绝
iptables -P OUTPUT DROP  # 出站默认拒绝
iptables -P FORWARD DROP  # 转发默认拒绝

此时所有未明确允许的流量都会被拦截，后续需根据业务需求开放必要端口。

开放核心服务端口

云服务器通常需提供SSH远程管理、Web服务等，需针对性开放端口：

允许SSH远程连接（默认22端口）

iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许入站SSH连接
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT  # 允许出站SSH响应

`-A`表示将规则追加到链末尾，`-p tcp`指定TCP协议，`--dport`为目标端口，`-j ACCEPT`表示允许通过。

开放Web服务（80/443端口）

若云服务器部署了网站，需开放HTTP（80）和HTTPS（443）端口：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

这组规则允许外部访问网站，同时放行服务器的响应流量。

保留本地回环通信

本地程序通过lo接口（127.0.0.1）通信需保留：

iptables -A INPUT -i lo -j ACCEPT  # 允许入站本地流量
iptables -A OUTPUT -o lo -j ACCEPT  # 允许出站本地流量

`-i`指定入站接口，`-o`指定出站接口，lo为本地回环接口。

规则持久化保存

当前配置的规则仅临时生效，服务器重启后会丢失。执行`iptables-save > /etc/iptables.rules`将规则保存到文件。若要开机自动加载，编辑`/etc/network/interfaces`文件，在对应网络接口配置下添加：

pre-up iptables-restore < /etc/iptables.rules

这样系统启动时会自动恢复防火墙规则。

通过以上步骤，可在Debian11云服务器上构建基础防火墙体系。实际使用中需根据业务变化调整规则，例如新增数据库服务时开放3306端口，或限制特定IP访问等。定期检查规则有效性，确保云服务器在安全与可用间保持平衡。