|
|
Δημοσιεύτηκε στις 7/12/2015 4:16:36 μ.μ.
|
|
|
Όταν ήρθα για πρώτη φορά σε επαφή με το Iptables, ήμουν μπερδεμένος σχετικά με τις παραμέτρους -I και -A, -Εισήγαγα έναν ή περισσότερους κανόνες και το -A ήταν ένας πρόσθετος κανόνας.
Όλα έχουν να κάνουν με την προσθήκη ενός κανόνα, ποια είναι η διαφορά μεταξύ των δύο;
Πείραμα:
Πήρα δύο μηχανήματα, το ένα έστειλε ένα πακέτο PING και το άλλο ήταν PING.
Και τα δύο μηχανήματα το βλέπουν με iptables -nvL INPUT, και το iptables είναι άδειο
Στη συνέχεια, προσθέστε iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP στο μηχάνημα που γίνεται PING
Στη συνέχεια, χρησιμοποιήστε το iptables -nvL INPUT για να ελέγξετε ως εξής:
Chain INPUT (πολιτική ACCEPT 592 πακέτα, 55783 byte)
pkts bytes target prot opt in προορισμός πηγής
8 672 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp τύπου 8
Σε αυτό το σημείο, το πακέτο PING που εμφανιζόταν από το μηχάνημα που έστειλε το πακέτο PING σταμάτησε.
Αυτή τη στιγμή, προσθέστε iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT στο μηχάνημα που γίνεται PING
Στη συνέχεια, χρησιμοποιήστε το iptables -nvL INPUT για να ελέγξετε ως εξής:
Chain INPUT (πολιτική ACCEPT 678 πακέτα, 62701 byte)
pkts bytes target prot opt in προορισμός πηγής
21 1764 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp τύπου 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp τύπου 8
Ένας κανόνας έχει προστεθεί στην οθόνη iptables, αλλά τα πακέτα PING που εμφανίζονται από το μηχάνημα που έστειλε το πακέτο PING εξακολουθούν να έχουν σταματήσει, αποδεικνύοντας ότι ο κανόνας που προστέθηκε πρόσφατα δεν μπορεί να απελευθερώσει το πακέτο PING
Προσθέστε iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT στο μηχάνημα PINGED
Στη συνέχεια, χρησιμοποιήστε το iptables -nvL INPUT για να ελέγξετε ως εξής:
Chain INPUT (πολιτική ACCEPT 770 πακέτα, 70223 byte)
pkts bytes target prot opt in προορισμός πηγής
2 168 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp τύπου 8
31 2604 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp τύπου 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp τύπου 8
Εμφάνιση iptables Προστίθεται ένας νέος κανόνας και το πακέτο PING που εμφανίζεται από το μηχάνημα που έστειλε το πακέτο PING θα μεταπηδήσει ξανά, αποδεικνύοντας ότι ο κανόνας που προστέθηκε πρόσφατα μπορεί να απελευθερώσει το πακέτο PING
Η μόνη διαφορά μεταξύ των δύο κανόνων είναι ότι τα -A και -I προσθέτουν τον κανόνα μετά τον κανόνα DROP και τον κανόνα -I add πριν από τον κανόνα DROP.
Τα iptables είναι κανόνες που ταιριάζουν από πάνω προς τα κάτω και οι κανόνες έκδοσης πρέπει να τεθούν σε ισχύ πριν από τους κανόνες απαγόρευσης.
Το iptables εκτελείται από πάνω προς τα κάτω - το a προσαρτάται στο πίσω μέρος - το i προστίθεται στο μπροστινό μέρος.
|
Προηγούμενος:530 Συνδεθείτε με την επίλυση σφαλμάτων USER και PASSΕπόμενος:Κατανόηση εισόδου, εξόδου, προώθησης και απαγόρευσης ping
|
