4.19内核配置iptables

### 配置iptables规则

对于Linux 4.19内核而言，在其之上配置`iptables`规则涉及几个主要方面，包括但不限于安装必要的软件包、理解基本命令结构以及实际应用这些规则来满足特定的安全需求或网络管理目标。

#### 安装依赖项和工具

确保已经正确安装了用于管理和操作防火墙规则所需的全部组件。这通常意味着需要获取并安装最新版本的`iptables`及其关联库文件。可以通过官方提供的链接下载相应资源[^2]。

#### 基本命令语法

一旦环境准备就绪，则可通过如下所示的方式创建新的链表条目：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

上述指令向INPUT链追加了一条允许HTTP流量进入系统的记录；其中 `-A` 参数表示附加动作，而 `--dport 80` 则指定了目标端口号为80的服务请求将被接受处理[^1]。

为了查看当前已生效的所有规则列表，可执行以下命令：

sudo iptables -v

此命令不仅会展示所有现存的规则集，还会提供有关匹配次数等统计信息，帮助管理员更好地理解和调整现有策略。

#### 设置默认策略

除了单独定义每一条规则外，还可以设定整个链条的行为模式作为默认响应机制。例如，如果希望阻止除特别许可之外的一切外部连接尝试，那么应该先清除任何现有的自定义规则，再指定一个拒绝性的全局政策：

sudo iptables -P FORWARD DROP

这里使用的 `-P` 参数用来更新给定链上的缺省行为至DROP状态，即未经明确授权的数据包都将遭到拦截而不予转发。

#### 持久化保存规则

值得注意的是，默认情况下重启操作系统之后之前所做的改动可能会丢失。因此建议采用适当的方法持久化存储所作变更以便下次启动时自动加载。具体方法取决于发行版的不同，但对于大多数情况来说，可以考虑利用`iptables-save` 和 `iptables-restore` 工具组合实现这一目的：

sudo sh -c "iptables-save > /etc/iptables/rules.v4"

这条语句将会把现行有效的IPv4规则导出到指定位置下的文本文件里，从而保证即使经历系统重引导也能维持原有安全防护措施不变。