Dieser Artikel ist ein Spiegelartikel der maschinellen Übersetzung, bitte klicken Sie hier, um zum Originalartikel zu springen.

Architect_Programmer_Code Landwirtschaftsnetzwerk»Architekt Weitere Technologien Windows/Linux CentOS-iptables führen Logik aus und parsen den Parameter -I -A
Ansehen: 12043|Antwort: 0

[Linux] CentOS-iptables führen Logik aus und parsen den Parameter -I -A

[Link kopieren]
Veröffentlicht am 07.12.2015 16:16:36 | | |

Als ich zum ersten Mal mit Iptables in Kontakt kam, war ich verwirrt über die Parameter -I und -A, -ich fügte eine oder mehrere Regeln ein, und -A war eine zusätzliche Regel.
Es geht darum, eine Regel hinzuzufügen – was ist der Unterschied zwischen den beiden?
Experiment:
Ich habe zwei Geräte genommen, eine hat ein PING-Paket geschickt und die andere war PING.
Beide Maschinen betrachten es mit iptables -nvL INPUT, und iptables ist leer
Dann fügen Sie iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP auf die gepingte Maschine hinzu
Dann verwenden Sie iptables -nvL INPUT, um folgendes zu überprüfen:
Chain INPUT (Richtlinie ACCEPT 592 Pakete, 55783 Bytes)
pkts bytes ziel prot opt-in out-Quellziel
    8 672 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp Typ 8
An diesem Punkt stoppte das von der Maschine angezeigte PING-Paket, das das PING-Paket gesendet hatte.
Fügen Sie zu diesem Zeitpunkt iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT der zu PINGenden Maschine hinzu
Dann verwenden Sie iptables -nvL INPUT, um folgendes zu überprüfen:
Chain INPUT (Richtlinie ACCEPT 678 Pakete, 62701 Bytes)
pkts bytes ziel prot opt-in out-Quellziel
   21 1764 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp Typ 8
    0 0 AKZEPTIERE icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp Typ 8
Eine Regel wurde zur iptables-Anzeige hinzugefügt, aber die von der Maschine angezeigten PING-Pakete, die das PING-Paket gesendet hat, werden weiterhin gestoppt, was beweist, dass die neu hinzugefügte Regel das PING-Paket nicht freigeben kann
Fügen Sie iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT zur PINGED-Maschine hinzu
Dann verwenden Sie iptables -nvL INPUT, um folgendes zu überprüfen:
Chain INPUT (Richtlinie ACCEPT 770 Pakete, 70223 Bytes)
pkts bytes ziel prot opt-in out-Quellziel
    2 168 AKZEPTIEREN ICMP -- * * 0.0.0.0/0 0.0.0.0/0 icmp Typ 8
   31 2604 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp Typ 8
    0 0 AKZEPTIERE icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp Typ 8
Anzeige von iptables Eine neue Regel wird hinzugefügt, und das von der Maschine angezeigte PING-Paket, das das PING-Paket gesendet hat, springt erneut, was beweist, dass die neu hinzugefügte Regel das PING-Paket freigeben kann
Der einzige Unterschied zwischen den beiden Regeln ist, dass -A und -ich die Regel nach der DROP-Regel hinzufüge und die -i-Regel vor der DROP-Regel.
IPtables sind von oben nach unten regelgebunden, und die Release-Regeln müssen vor den Sperrregeln in Kraft treten.
iptables wird von oben nach unten ausgeführt – a wird hinten angehängt – i wird vorne hinzugefügt.




Vorhergehend:530 Bitte melden Sie sich mit USER und PASS-Fehlerbehebung an
Nächster:Verstehen Sie Eingabe-, Ausgabe-, Weiterleitungs- und Verbots-Pings

Verwandte Beiträge
Verzichtserklärung:
Alle von Code Farmer Network veröffentlichten Software, Programmiermaterialien oder Artikel dienen ausschließlich Lern- und Forschungszwecken; Die oben genannten Inhalte dürfen nicht für kommerzielle oder illegale Zwecke verwendet werden, andernfalls tragen die Nutzer alle Konsequenzen. Die Informationen auf dieser Seite stammen aus dem Internet, und Urheberrechtsstreitigkeiten haben nichts mit dieser Seite zu tun. Sie müssen die oben genannten Inhalte innerhalb von 24 Stunden nach dem Download vollständig von Ihrem Computer löschen. Wenn Ihnen das Programm gefällt, unterstützen Sie bitte echte Software, kaufen Sie die Registrierung und erhalten Sie bessere echte Dienstleistungen. Falls es eine Verletzung gibt, kontaktieren Sie uns bitte per E-Mail.
Mail To:help@itsvse.com