使用默认策略丢弃不匹配的数据包与-j DROP最终丢弃有什么区别吗?
喜欢:
iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT
对比
iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP
我之所以关心,是因为我无法使用日志创建链并将其作为默认策略,因此我需要使用第二个示例。
是的。如果您使用 DROP 策略,然后通过 SSH 连接并刷新表 ( iptables -F),您将自己锁定,因为默认策略未刷新。
我已经在远程系统上完成了这项工作。很痛。
(其他经验教训,如果您想service iptables stop暂时摆脱防火墙,请使用,而不是iptables-F + service iptables reload)
不过,默认策略可能更安全,因为更易于管理。你不能忘记把它加到最后。
从技术角度来看,不会。无论哪种方式,数据包都会被丢弃。
但是 Sirex 是非常正确的,因为如果您在切换表默认规则时忘记了一些重要的事情,这可能会有点痛苦。
在花一些时间使用 IPTables 之后,您可能会找到一个偏好并在您的环境中围绕它构建您的系统。
| 归档时间: |
|
| 查看次数: |
5366 次 |
| 最近记录: |