答案1
很大程度上取决于您的需求。iptables
当您了解它的工作原理时,就会很容易掌握。
表中有 3 个链filter
包含规则:INPUT
、OUTPUT
和FORWARD
。如果您只想阻止进入服务器的数据包,那么INPUT
您真正需要关心的就是链。
之后,它只是为您想要阻止的内容或您想要如何处理连接设置适当的标准。请记住,当您阅读规则时,它是基于第一个匹配的,这意味着如果数据包与您实际想要的规则之前的规则匹配,它将遵守第一个规则。所以,顺序很重要。
一般来说,对于基本INPUT
过滤器,您会发现只为重要的服务打了几个洞,然后是一个全局包罗万象的东西,阻止了其他一切。 Slicehost 给出的示例就是一个很好的例子。