Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Autres technologies Windows/Linux CentOS iptables exécutant la logique et analysant le paramètre -I -A
Vue: 12043|Répondre: 0

[Linux] CentOS iptables exécutant la logique et analysant le paramètre -I -A

[Copié le lien]
Publié sur 07/12/2015 16:16:36 | | |

Lorsque j’ai été en contact avec Iptables pour la première fois, j’étais confus sur les paramètres -I et -A, -j’ai inséré une ou plusieurs règles, et -A était une règle supplémentaire.
Tout est une question d’ajouter une règle, quelle est la différence entre les deux ?
Expérimentation :
J’ai pris deux machines, l’une envoyait un colis PING et l’autre était PING.
Les deux machines le regardent avec iptables -nvL INPUT, et iptables est vide
Ajoutez ensuite les iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP à la machine PINGÉE
Utilisez ensuite iptables -nvL INPUT pour vérifier comme suit :
Chain INPUT (politique ACCEPTE 592 paquets, 55783 octets)
PKTS Bytes cible Prot Opt Out Source Destination
    8 672 DROP ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP type 8
À ce moment-là, le paquet PING affiché par la machine qui l’envoyait s’arrêtait.
À ce stade, ajouter iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT à la machine PINGÉE
Utilisez ensuite iptables -nvL INPUT pour vérifier comme suit :
Chain INPUT (politique ACCEPTE 678 paquets, 62701 octets)
PKTS Bytes cible Prot Opt Out Source Destination
   21 1764 ICMP DROP -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
    0 0 ACCEPTER ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP type 8
Une règle a été ajoutée à l’affichage iptables, mais les paquets PING affichés par la machine qui a envoyé le paquet PING sont toujours arrêtés, ce qui prouve que la nouvelle règle ajoutée ne peut pas libérer le paquet PING
Ajouter iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT à la machine PINGÉE
Utilisez ensuite iptables -nvL INPUT pour vérifier comme suit :
Chain INPUT (politique ACCEPTE 770 paquets, 70223 octets)
PKTS Bytes cible Prot Opt Out Source Destination
    2 168 ICMP ACCEPTER -- * * 0.0.0.0/0 0.0.0.0/0 ICMP type 8
   31 2604 ICMP DROP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP type 8
    0 0 ACCEPTER ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP type 8
Afficher iptables Une nouvelle règle est ajoutée, et le paquet PING affiché par la machine qui a envoyé le paquet PING sautera à nouveau, prouvant que la nouvelle règle peut libérer le paquet PING
La seule différence entre les deux règles est que -A et -I ajoutent la règle après la règle DROP, et la règle -I ajoute avant la règle DROP.
Les iptables sont appliqués par les règles de haut en bas, et les règles de libération doivent entrer en vigueur avant les règles de bannissement.
Iptables est exécuté de haut en bas - A est ajouté à l’arrière - i est ajouté à l’avant.




Précédent:530 Veuillez vous connecter avec la résolution d’erreur USER et PASS
Prochain:Comprendre les pings d’entrée, de sortie, d’acheminement et d’interdiction

Articles connexes
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com