本文共 1919 字，大约阅读时间需要 6 分钟。

Foundation iptables规则持久化指南

设置iptables规则

在编写iptables规则前，请确保你清楚每条规则的作用。以下是一些常用的iptables命令示例：

iptables -A INPUT -s 1.1.1.1/32 -p tcp -m tcp --dport 22 -j DROP
iptables -A INPUT -s 2.2.2.2/32 -p tcp -m tcp --dport 22 -j DROP
iptables -A INPUT -s 3.3.3.3/32 -p tcp -m tcp --dport 22 -j DROP
iptables -A INPUT -s 4.4.4.4/32 -p tcp -m tcp --dport 22 -j DROP

保存iptables规则

在iptables规则编写完成后，保存规则以便于重启或关机后重新加载。以下是保存iptables规则的常用命令：

iptables-save > /etc/sysconfig/iptables

启动时自动恢复iptables规则

为了确保iptables规则在系统启动时自动恢复，可以按照以下步骤操作：

vim /etc/rc.d/rc.local

iptables-restore < /etc/sysconfig/iptables

chmod +x /etc/rc.d/rc.local

关机时自动保存iptables规则

你可以创建一个脚本来在关机时自动保存iptables规则。以下是一些示例操作：

vim /etc/rc.d/shutdown

# 保存iptables规则
iptables-save > /etc/sysconfig/iptables

chmod +x /etc/rc.d/shutdown

ln -s /etc/rc.d/shutdown /etc/rc0.d/K01shutdown
ln -s /etc/rc.d/shutdown /etc/rc6.d/K01shutdown

注意：每次关机或重启时，/var/lock/subsys目录会自动生成一个锁文件。当系统重新启动时，这个锁文件会被删除。因此，脚本仅能在关机或重启时依次执行一次。

手动添加iptables规则

在一些特定场景下，你可能需要手动添加一些iptables规则。以下是一个示例：

iptables -A INPUT -s {目标IP}/32 -p tcp -m tcp --dport {目标端口} -j DROP

将 {目标IP} 替换为你要限制访问的IP地址，{目标端口} 替换为你需要防护的端口（如22端口）。

检查iptables规则是否生效

为了确保iptables规则已正确应用，执行以下命令查看防火墙规则状态：

iptables -nvL

例如：

[root@ecs-7740 init.d]# iptables -nvL
Chain INPUT (policy ACCEPT 27 packets, 1978 bytes)
pkts bytes target prot opt in out source destination
0:   0 DROP tcp -- * * 1.1.1.1/32 0.0.0.0/0 tcp dpt:22
1:   0 DROP tcp -- * * 2.2.2.2/32 0.0.0.0/0 tcp dpt:22
2:   0 DROP tcp -- * * 3.3.3.3/32 0.0.0.0/0 tcp dpt:22
3:   0 DROP tcp -- * * 4.4.4.4/32 0.0.0.0/0 tcp dpt:22

关键点

• 持久化规则：建议将iptables规则保存到 /etc/sysconfig/iptables 文件，并通过rc.local脚本在启动时自动恢复。
• 脚本自动处理：创建一个关机自动保存脚本，并将其链接到/etc/rc.d目录下，以确保在关机时规则自动保存。
• 权限设置：确保脚本和相关文件具有适当的执行权限，避免权限问题。

通过以上方法，你可以轻松实现iptables规则的持久化管理。