怎么使用 iptables 关闭特定端口？详细步骤详解

在关闭特定端口前，首先需要查看当前的iptables规则状态。使用命令sudo iptables -L可以列出所有规则，包括已开放的端口。该命令会显示INPUT、FORWARD和OUTPUT链的详细配置，帮助您确认目标端口当前是否处于开放状态。

使用iptables命令关闭端口

关闭特定端口的核心操作是向iptables规则链添加DROP规则。以关闭TCP协议的80端口为例，执行命令：sudo iptables -A INPUT -p tcp --dport 80 -j DROP。此命令的含义是：在INPUT链中添加规则，对所有目标端口为80的TCP数据包执行丢弃操作。

若需要同时限制出站连接，还应在OUTPUT链中添加相应规则：sudo iptables -A OUTPUT -p tcp --sport 80 -j DROP。关键参数说明：

• -A INPUT：向INPUT链追加规则
• -p tcp：指定TCP协议
• –dport 80：定义目标端口号
• -j DROP：设置动作为丢弃数据包

保存iptables规则

通过命令添加的iptables规则在系统重启后默认会丢失，因此必须执行保存操作。在CentOS/RHEL系统中，使用service iptables save命令可将规则永久保存到/etc/sysconfig/iptables文件中。保存后可通过vi /etc/sysconfig/iptables查看确认规则已持久化。

验证端口关闭状态

完成规则添加和保存后，需要验证端口是否已成功关闭。再次运行sudo iptables -L命令，检查规则列表中是否包含新添加的DROP规则。例如，针对80端口的规则应显示为：

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp –
anywhere anywhere tcp dpt:http

高级配置与注意事项

对于更复杂的需求，可以实施精细化控制：

• 允许特定IP访问：在DROP规则前添加iptables -A INPUT -p tcp -s 192.168.1.100 --dport 3306 -j ACCEPT可实现白名单机制
• 屏蔽IP段：使用iptables -I INPUT -s 192.168.0.0/16 -j DROP可阻断整个IP段的访问
• 规则管理：结合iptables -L --line-numbers查看规则编号，使用iptables -D INPUT [行号]删除特定规则

操作时需注意：修改防火墙规则可能导致服务中断，建议在维护窗口进行操作，并确保留有其他访问途径。