在2025年AI云时代，这是一个数据如同黄金般珍贵的时代，各类企业和个人都将大量重大数据存储在服务器之中。不过，繁荣的背后往往隐藏着危机，服务器安全隐患频发成为了这个时代不容忽视的问题。服务器安全隐患频发，你的Linux服务器就像一座存放宝贵

数据的“金库”，24小时暴露在互联网这个“狂野西部”之中。

如果没有一个尽职尽责的“保安”，它随时可能被黑客洗劫一空。 iptables，就是Linux世界里最经典、最强劲、也最值得信赖的“金库保安”。

它名声在外，却也因其复杂的规则，让无数新手谈虎色变。今天，我们就用一个“大厦保安”的比喻，把这个看似复杂的家伙，彻底给你说清楚。虽然规则复杂，但只要我们通过合适的方法去理解和掌握它，就能为服务器构建起一道坚不可摧的安全防线。

我亲测过，掌握它后，服务器防护如虎添翼！

一、保安的大脑：理解“四表五链”的核心逻辑

要理解iptables，第一要理解它的思考方式。它的核心，就是“四表五链”。

• “表 (Table)”：可以理解为保安手里的“四本不同用途的规则手册”。
• “链 (Chain)”：可以理解为大厦的“五个关键安检口”。

当一个数据包（访客）来到大厦时，保安（iptables）就会在不同的“安检口”，翻开不同的“规则手册”，来决定要对这个访客做什么。

保安的四本“规则手册”（表）：

1. filter表 (过滤手册)：最常用的一本！ 只负责最简单的事：“这个人/包裹，该不该放行？”（ACCEPT/DROP）。
2. nat表 (地址翻译手册)：负责“伪装”。列如把公司内部员工的“工牌号”（内网IP），翻译成公司对外的统一“总机号”（公网IP），这就是我们能上网的关键（NAT技术）。
3. mangle表 (特殊标记手册)：给某些特殊的包裹“盖个章、做个标记”，方便后续处理（列如服务质量QoS）。
4. raw表 (免检手册)：规定哪些包裹是“VIP”，无需经过复杂的检查，可以直接放行。

【敲黑板】：虽然有四本书，但我们90%的日常工作，都只需要和filter表与nat表打交道！你用过nat表做端口转发吗？评论区分享你的应用场景！

大厦的五个“安检口”（链）：

1. INPUT (入口安检)：所有目的地是“大厦本身”（服务器本机）的访客，都要在这里接受检查。
2. OUTPUT (出口安检)：所有从“大厦本身”出去的访客，也要在这里接受检查。
3. FORWARD (中转安检)：那些只是想“穿过”我们大厦，去往别的大厦的访客（路由转发），在这里接受检查。
4. PREROUTING (预处理安检)：所有访客进入大厦的第一站，在这里进行“身份登记”，列如NAT地址转换就在这里进行。
5. POSTROUTING (后处理安检)：所有访客离开大厦的最后一站，在这里进行“离场检查”，列如NAT地址转换也在这里进行。

高手Tip：链的顺序很重大！数据包按PREROUTING → FORWARD/INPUT → POSTROUTING流动，错配链会导致规则失效。你调试过链顺序问题吗？欢迎评论交流心得！

二、保安的指令：iptables实战命令入门

理解了保安的“大脑”，我们就可以开始对他下达指令了。

1. 查看规则手册：iptables -L -n -v

• 这是最重大的查看命令。-L代表List（列表），-n代表Numeric（用数字显示IP和端口，更快），-v代表Verbose（显示更详细的信息）。如图（配图3：插入iptables -L -n -v输出截图），规则一览无余。

2. 添加一条新规矩：iptables -A INPUT …

• -A代表Append（在链的末尾追加一条规则）。
• 【实战示例】：我们要允许外部用户通过SSH（22端口）连接我们的服务器。 iptables -A INPUT -p tcp –dport 22 -j ACCEPT
• 翻译：在“入口安检链(INPUT)”上，追加(-A)一条规则：如果遇到一个协议是tcp，目标端口是22的访客，就对他执行ACCEPT（接受/放行）的动作。

高手Tip：用-I（Insert）在链头部插入规则，优先级更高。你加过自定义规则吗？评论你的命令示例！

3. 删除一条旧规矩：iptables -D INPUT …

• -D代表Delete（Delete）。
• 【实战示例】：要删除“入口安检链”上的第3条规则。 iptables -D INPUT 3 （可以用 iptables -L INPUT –line-numbers 来查看规则编号）

4. 设置默认政策：iptables -P INPUT DROP

• -P代表Policy（默认策略）。
• 【安全核心】：这条命令的意思是，将“入口安检链”的默认政策，设置为DROP（丢弃）。
• 翻译：“保安先生，对于所有‘规则手册’上没明确写着可以放行的访客，一律给我拦下扔出去！” 这是保障服务器安全的黄金准则。

总结一下： iptables看似复杂，但只要你掌握了“四表五链”这个核心逻辑，把它想象成一个在大厦门口按规则办事的保安，一切都会变得清晰起来。

这是我们《排障命令深度解析》系列的第七篇。如果这份“大厦保安工作手册”让你对iptables有了全新的认识，请务必【点赞+收藏+分享】，再点个【关注】。

下期我们来聊聊iptables的“亲民版”好兄弟——firewall-cmd，看看它是如何让防火墙配置变得更简单的！欢迎评论你的iptables难题，我来帮你分析~