学习iptables:这个Slicehost示例有用吗？

Question

为了准备最终推出我的第一个网站，我一直在我的WinXP机器上的VM中使用。为了获得指导，我一直在林诺德和Slicehost教程/文章之间交替，我正在尝试理解关于iptables的部分。

Slicehost的示例可以找到这里。不过，在我看来，这似乎很简单。这只是一个把所有东西都锁上，并打出非常具体的洞的问题。当其他所有的文章看起来都很混乱，并且使iptable听起来像一个巨大的皮塔时，这个例子看起来非常简单(或者至少，一旦您知道命令的含义，它就会变得非常简单)。

此示例适用于生产服务器吗？那些非常复杂的iptables只是在稍后才会出现吗？

Answer 1

很大程度上取决于你的需求。当您了解iptables的工作原理时，可以很容易地掌握它。

filter表中有三条包含规则的链：INPUT、OUTPUT和FORWARD。如果您只希望阻止进入服务器的数据包，那么INPUT链就是您真正需要关注的问题。

在此之后，只需为要阻止的内容或处理连接的方式设置适当的标准。记住，当你阅读规则时，它是基于第一次匹配的，这意味着如果一个数据包在你真正想要的规则之前匹配，它就会遵守第一条规则。所以，秩序很重要。

通常，对于基本的INPUT过滤器，您只会发现对重要的服务只穿孔了几个漏洞，然后是一个全局捕获--所有这些都阻塞了其他一切。Slicehost给出的示例就是一个很好的例子。