明顯混淆了防火牆概念嘛。iptables雖然真的很強大,雖然經常被叫做「防火牆」,但這個取決於iptables的核心作用,一般都僅用於埠流量的常規匹配,簡單的字串模式匹配,然後配合一些動作:遮蔽,轉發等。你說你的伺服器僅開放了80與22,那你倒是可以用iptables來明確禁用其他埠的任何流量,只允許80與22的進出流量。這樣可以防止其他人不小心開放了其他埠,比如除錯目的,比如不小心來了個後門病毒。但是高階的後門肯定是複用你開放的80與22。比如,你用Apache的話,有專門的Apache mod病毒,利用80埠開個反彈式後門,非常隱蔽。這個時候你用iptables所謂的防火牆就顯得雞肋了,配置很麻煩,而且很可能滯後。腫麼辦?一般會在這臺伺服器之前架一臺專業的防火牆,這種才是真正意義上的防火牆,可以對80,22等各類埠的異常流量進行監測,發現異常要麼告警,要麼遮蔽。當然你不架個這樣的防火牆也行,你這臺伺服器配置個類似OSSEC這樣的入侵檢測,也是可以做到事後應急的,可惜只是事後應急(比如調查異常源頭,然後禁止)。為了防止一些暴力破解,比如針對你的80,22上的服務。可以安裝個fail2ban,配合iptables是很不錯的。結論是:當然建議開啟iptables,配個低成本的規則。但僅依賴於iptables是不足的,且大多數人並沒能真的發揮好iptables的強大能力。
明顯混淆了防火牆概念嘛。iptables雖然真的很強大,雖然經常被叫做「防火牆」,但這個取決於iptables的核心作用,一般都僅用於埠流量的常規匹配,簡單的字串模式匹配,然後配合一些動作:遮蔽,轉發等。你說你的伺服器僅開放了80與22,那你倒是可以用iptables來明確禁用其他埠的任何流量,只允許80與22的進出流量。這樣可以防止其他人不小心開放了其他埠,比如除錯目的,比如不小心來了個後門病毒。但是高階的後門肯定是複用你開放的80與22。比如,你用Apache的話,有專門的Apache mod病毒,利用80埠開個反彈式後門,非常隱蔽。這個時候你用iptables所謂的防火牆就顯得雞肋了,配置很麻煩,而且很可能滯後。腫麼辦?一般會在這臺伺服器之前架一臺專業的防火牆,這種才是真正意義上的防火牆,可以對80,22等各類埠的異常流量進行監測,發現異常要麼告警,要麼遮蔽。當然你不架個這樣的防火牆也行,你這臺伺服器配置個類似OSSEC這樣的入侵檢測,也是可以做到事後應急的,可惜只是事後應急(比如調查異常源頭,然後禁止)。為了防止一些暴力破解,比如針對你的80,22上的服務。可以安裝個fail2ban,配合iptables是很不錯的。結論是:當然建議開啟iptables,配個低成本的規則。但僅依賴於iptables是不足的,且大多數人並沒能真的發揮好iptables的強大能力。