一、iptables防火墻并不能阻止DDOS攻擊，建議在項目實施中采購硬件防火墻,置于整個系統之前，用于防DDOS攻擊和端口映射；如果對安全有特殊要求，可再加上應用層級的防火墻，比如天泰防火墻，其功能強大如此:①天泰WEB應用防火墻基于對數據報文頭部和載荷完整的檢測，對WEB應用客戶端輸入進行驗證，從而對各類已知的及新興的WEB應用威脅提供全方位的防護，如SQL注入、跨站腳本、蠕蟲、黑客掃描和攻擊等；②天泰WEB應用防火墻提供對目前國內比較泛濫的DDOS攻擊的防護。針對WEB應用進行的帶寬和資源耗盡型DDOS攻擊，都可輕松應對。尤其針對應用層的DDOS攻擊，提供細粒度的防護，其它優點這里不一一介紹了。

二、在項目實施中建議關閉Linux服務器的iptables防火墻或FreeBSD的ipfw，目的為:①更好的提高后端服務器網絡性能；②方便數據流在整個業務系統內部流通，安全方面工作由硬件防火墻來承擔。

三、我目前主要將iptables用于內部作NAT防火墻，它的性能和方便管理性確實強悍，經迅雷測試可發現，公司內部的10M帶寬能被利用得一絲無余；武漢地區比較常用的軟件路由器是海蜘蛛，這個其實也是iptables的二次開發；前二年替朋友網吧布署網吧的路由器，我強烈推薦的是讓iptables作NAT路由轉發，事實證明效果很好。

四、iptables的L是命令,而-v和-n只是作為選項，它們不能進行組合，如-Lvn；如果要列出防火墻詳細規則，可采用iptables -nv -L;

五、如果是使用遠程來調試iptables防火墻,最好是設置crontab作業是定時停止防火墻，以防自己被鎖定，5分鐘停止一次iptables即可，等整個腳本完全穩定后再關閉此crontab作業。

六、如果使用默認禁止一切策略，即應立即使用回環接口lo(因為禁止一切包括了lo)；附注：回環接口lo在Linux系統中被用來提供本地、基于網絡的服務的專用網絡接口，不用把本地數據流通過網絡接口驅動器發送，而是采用操作系統通過回環接口發送，采取的捷徑，大大提高了性能。

七、如果是電信或雙線機房托管的服務器，在沒有配置前端硬件防火墻的情況下，Linux主機一定要開啟iptables防火墻，windows2003主機開啟它自帶的系統防火墻，并禁ping。

八、如果項格價格能承受的話，最前端的硬件防火墻應該也要作為雙機冗余，防止單防火墻出問題會導致整個網站crash，防火墻跟人一樣，總有頂不住壓力的時候；如果有雙機的話，網站出問題的機率要小許多。