【每周一议】iptables的简单应用（20积分已转账-2012-7-11）

ldyxing

现在要限制某一地区的客户访问一个基于域名的虚拟主机，iptables可以实现吗，IP地址整理好了，近万条。

dbsrv

回复 21# ldyxing


    iptables封域名不怕累死就来吧，用squid最好。

ddd010

我的开发服务器就关了 iptable的，我到现在没有感觉到这个有啥用！！

飞灰烟灭

防火墙开了之后好卡啊，同样两台配置很高的电脑一个开了，一个关了程序运行速度完全不一样的。

soulmoon

iptables封锁域名也挺好的， 我都用string 模块的

oldladyfei

...直接关掉了。因为总是要开放很多端口，加入很多规则，且加入后，常常使应用无法访问到。

platinum

Gray1982 发表于 2012-06-21 11:02
回复 1# dooros

一般除了只接受所需要的端口，其它全都不让进出，还需要防点暴力破解和简单的DDOS

DDoS 用 iptables 无法解决，反而会让服务器更加被 DoS

zzzbird

为了安全 限制暴力破解等
linux下没用过别的 防火墙

封掉所有端口 只开有用的 限制源地址 目的地址 等

某些服务无法访问时 先停掉防火墙看看 是不是能解决

ben123one

俺想通过iptable命令使多台相同的ip的设备 不网络冲突，但是没成功，不知道有谁会哈

platinum

dbsrv 发表于 2012-07-10 11:17
回复 21# ldyxing

二者的关注层面不同
iptables 关注的是网络层之上的所有数据，包括 DNS 的域名拦截；squid 只关注应用层，准确说是 HTTP 协议

二者的性能不同
squid 虽然增加 ACL 功能很简单，性能的额外损耗也很小，但在没有 squid 的网络中添加 squid，性能会较没有之前有很大下降
iptables 的 string 虽然利用 kmp、bm 等模式匹配算法可以很高效处理数据，但如果域名很多，性能直线下降

二者的可扩展方式
iptables 可以通过写 match module 来实现高性能域名匹配
squid 可以通过写 plugin 来实现

二者的工作模式不同
iptables 的封禁是通过部署在网关等流量必经之路来实现
squid 可以同 iptables 一样，也可以利用 iptables 做跳转，间接实现透明代理。
但 squid 的透明代理有个问题，例如迅雷这种使用 80 端口但不是 HTTP 协议的软件，80 端口的传输就没法使用了，squid 会认为异常而丢弃请求。

二者的取舍
如果让我选择，我仍然会选 iptables。如果我的网络之前没有使用 squid，我不会因为要增加域名拦截这个功能而增加一个庞然大物。