Linux国外VPS用iptables限制IP访问指南

在Linux国外VPS的日常运维中，应对恶意IP访问是绕不开的安全课题。无论是暴力破解、异常扫描还是流量攻击，都可能影响服务器稳定。这时候，Linux系统自带的iptables（内核防火墙配置工具）就派上大用场了——它能通过规则精准限制特定IP或IP段的访问，为服务器筑牢安全防线。接下来我们详细聊聊如何用iptables实现这一操作。

实际运维中常遇到的恶意IP问题

运维过国外VPS的朋友可能都有类似经历：某天登录服务器查看日志，发现某个陌生IP在1小时内尝试了50次SSH登录失败，明显是暴力破解；或是监控显示某IP段持续发送异常HTTP请求，占用大量带宽。这些恶意行为不仅消耗服务器资源，还可能导致数据泄露或服务中断。这时候，限制特定IP访问就成了必须操作。

iptables的核心作用与常用链

iptables是Linux系统中管理内核防火墙的用户空间工具，简单说就是给服务器配“电子门岗”——通过设定规则决定哪些网络数据包能进、哪些得拒。日常限制IP访问主要用INPUT链（管理入站流量），比如禁止某个IP连接服务器的22端口（SSH）或80端口（HTTP）。

三步搞定IP访问限制

1. 先查现有规则，避免操作冲突

动手改规则前，一定要先看当前设置。输入命令：

iptables -L -n -v

这条命令会列出所有规则的详细信息，包括目标（DROP/ACCEPT）、源IP、目标端口等。就像装修前先检查原有电路，避免重复施工或破坏现有配置。

2. 添加限制规则：单个IP或IP段

如果要禁止某个具体IP（比如192.168.1.100）访问，输入：

iptables -A INPUT -s 192.168.1.100 -j DROP

参数解释：-A是把规则追加到INPUT链末尾；-s指定源IP；-j DROP表示匹配的数据包直接丢弃。

如果要禁止一个IP段（比如192.168.1.0到192.168.1.255），命令调整为：

iptables -A INPUT -s 192.168.1.0/24 -j DROP

这里的“/24”是子网掩码，表示前24位固定，后8位可变，覆盖256个IP。

3. 保存规则，防止重启失效

刚添加的规则只存在于内存中，服务器重启就没了。必须保存到磁盘，不同系统保存方法不同：
- CentOS系统：用`service iptables save`直接保存规则到默认路径；
- Ubuntu系统：先执行`iptables-save > /etc/iptables.rules`将规则导出到文件，再编辑`/etc/network/interfaces`，在末尾添加`pre-up iptables-restore < /etc/iptables.rules`，这样开机就会自动加载规则。

两个关键注意事项

操作前先备份规则

就像重要文件要存云盘，改规则前建议备份。输入`iptables-save > iptables.backup`就能生成备份文件。万一规则设错导致无法访问服务器，用`iptables-restore < iptables.backup`就能快速恢复。

测试规则再应用到生产

新手常犯的错是直接在生产环境的国外VPS上改规则，结果误封了正常IP。建议先在测试机上验证规则效果——比如用另一台设备模拟被限制的IP，测试是否真的无法连接。确认没问题后，再同步到生产环境。

掌握这些方法，你就能用iptables为Linux国外VPS构建一道灵活的安全屏障，有效应对恶意IP的各种攻击。日常运维中多关注日志，及时发现异常IP并添加限制，服务器的稳定性和数据安全自然更有保障。