对于斗胆开始玩vps的文科生来讲,iptables简直是地狱中的地狱。有几家vps供应商系统默认是带着些iptables规则的,以前我一向是难言之隐,一清了之。
我很早就知道这东西重要,但看着太难了,后来看到log里越来越多的攻击记录,心想这东西得必须学了,说不定哪天哪个龟孙子就攻进来了。网上及电子书中的教程一般对于文科生来讲比较难看懂,有的还画着图,号称apicturecantellathousandwords.但有图也看不懂,你说画个桌子,我知道英语是table、日语称鸡鸡。但这个根本不存在的table,你画出来,对于连看懂火车时刻表都表示有困难的我,我会更糊涂的。
说闲话少说的时候,实际上是说了很多闲话.咬咬牙开始吧,我还是要不怕困难,写一个连文科生都能看懂的iptables心得!
如其名称所示,iptables,就是里面有好几个table,大约有过滤桌、nat桌、mangle桌啥的。后两个你先别管,等我搞明白了再来教你,第一个桌子从名称上一看就明白了,过滤数据用的,它也正是我们用来防止攻击用的——把坏人过滤掉,不让他进来!那我们就讲这个过滤桌吧。
这个桌子上放有一条一条的chain,就是链子。每个链子由尺子(rules)组成严肃点,我不开玩笑了,这么说吧,table(表)由chain(链)组成,Chain又有规则组成(rules)。
既然我们只讲filtertable(过滤表),那么table这个概念就跟我们无关了,重点要理解链和组成链的rule(规则)。
链(chain)与规则(rules)
filtertable里面有三个默认的链,INPUT,OUTPUT和FORWARD。FORWARD呢对于做站基本用不上,我们就讲INPUT和OUTPUT。因为是别人要攻击我们,对于我们的服务器来讲,攻击是要进来的,即INPUT,诶?那么说把INPUT这个链搞明白,就可以防守了?差不多吧。那我们就只讲INPUT好了,越简单越好,关键是把概念理清楚,别的细节,都可以查到的的亲。另外,INPUT,OUTPUT,FORWARD都是由规则组成的链,INPUT搞懂了,其他的也就不难了。
平常我们看到iptables,就是一条条的规则,例如:
复制代码