|
|
Публикувано в 7.12.2015 г. 16:16:36 ч.
|
|
|
Когато за първи път се срещнах с Iptables, бях объркан относно параметрите -I и -A, -вмъкнах едно или повече правила, а -A беше допълнително правило.
Всичко е въпрос на добавяне на правило, каква е разликата между двете?
Експеримент:
Взех две машини, едната изпрати PING пакет, а другата беше PING.
И двете машини го разглеждат с iptables -nvL INPUT, и iptables е празен
След това добавете iptables -A INPUT -p icmp --icmp-тип 8 -s 0/0 -j DROP към машината, която се PING-ва
След това използвайте iptables -nvL ВХОД, за да проверите по следния начин:
Chain INPUT (политика ПРИЕМА 592 пакета, 55783 байта)
PKTS байтове целеви prot opt in изходен източник дестинация
8 672 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp тип 8
В този момент PING пакетът, показван от машината, изпратила PING пакета, спря.
В този момент добавете iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT към машината, която се PING-ва
След това използвайте iptables -nvL ВХОД, за да проверите по следния начин:
Chain INPUT (политика ПРИЕМА 678 пакета, 62701 байта)
PKTS байтове целеви prot opt in изходен източник дестинация
21 1764 DROP ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP тип 8
0 0 ПРИЕМАМ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 icmp тип 8
Към дисплея на iptables е добавено правило, но PING пакетите, показани от машината, изпратила PING пакета, все още са спрени, което доказва, че новодобавеното правило не може да освободи PING пакета
Добавете iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT към PINGED машината
След това използвайте iptables -nvL ВХОД, за да проверите по следния начин:
Chain INPUT (политика ACCEPT 770 пакета, 70223 байта)
PKTS байтове целеви prot opt in изходен източник дестинация
2 168 ПРИЕМАМ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP тип 8
31 2604 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp тип 8
0 0 ПРИЕМАМ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 icmp тип 8
Показване на iptables Добавя се ново правило и PING пакетът, показван от машината, изпратила PING пакета, ще скочи отново, доказвайки, че новодобавеното правило може да освободи PING пакета
Единствената разлика между двете правила е, че -A и -I добавям правилото след DROP правилото, а -I добавям правилото преди правилото DROP.
IPtables се съчетават с правилата отгоре надолу, а правилата за освобождаване трябва да влязат в сила преди забраната.
iptables се изпълнява отгоре надолу – a се добавя отзад – i се добавя отпред.
|
Предишен:530 Моля, регистрирайте с резолюция на грешки USER и PASSСледващ:Разберете входните, изходните, препращащите и забраняващите пингове
|
