对iptables添加白名单是否可以阻止网络攻击 ？

fpga

如果我的服务器事先知道所有客户端的IP 地址，那么是否可以通过对iptables添加白名单阻止网络攻击 ？

G.K.D

单纯软件防火墙（如 iptables）不能防御 DDOS，因为 DDOS 的目的是占满对方的宽带。

软件防火墙相当于你家的防盗门，虽然可以阻挡对方进来，但是对方并不需要进来。
只有这条路能进你家，但是当这条路被塞满堵住时，其他正常人也进不来了。

Cloudflare CDN 这种 Anycast IP，则相当于有很多条路可以通往你家，而 DDOS 流量进来后，除非堵死所有的路，否则影响有限，这也是为什么 Cloudflare CDN 敢保证免费无限 DDOS 防御。

软件防火墙只能防御 CC 攻击。

DDOS 只能依靠硬件防火墙，黑洞或者硬抗什么的（比如 Cloudflare CDN 就是硬抗）。

三和大神

可以防扫描、渗透类攻击，不能防DDoS类洪水攻击。

darius

udp泛洪没法防

dragonfsky

可以防c 不能防d

flyqie

如前几楼所说。

攻击分很多种类型，iptables白名单这种方式具体有没有用得看攻击类型。