设置 iptables 时您会做什么:更改默认策略(iptables -P INPUT DROP例如)或在规则集的末尾添加一个包罗万象的规则 ( iptables -A INPUT DROP)?如果您确实特别喜欢一种,那么您的偏好背后的基本原理是什么?
对于本论坛来说,这可能是一个过于主观的问题,但也许有一些我不知道的选择一个而不是另一个的充分理由。
与我所拥有的政策方式相反,由于过于乐观,将自己锁定在服务器之外可能更容易iptables -F。对于它,我认为在没有注意到它的情况下删除所有规则可能更容易,有效地使服务器保持开放状态(我过去曾发生过这种情况)。
确实,您不应该依赖防火墙作为您对 Internet 的唯一保护(例如,大多数情况下,您可以使内部网络服务仅绑定到本地主机或内部网络),但有时被迫公开半对特定源网络等的公共服务。
就我个人而言,如果从头开始编写规则集,我倾向于使用第一个,但如果更新现有规则集,则坚持使用现有的任何内容。