CentOSのiptablesは論理を実行し、-I -Aパラメータを解析します

管理者 · 掲載地 2015/12/07 16:16:36

Iptablesに初めて触れたとき、私は-Iと-Aのパラメータに混乱していました。-私は1つ以上のルールを挿入し、-Aは追加のルールでした。
ルールを追加することが大事で、両者の違いは何でしょうか?
実験:
私は2台の機械を持ち込み、1台はPIGのパッケージを送り、もう1台はPINGでした。
両マシンともiptables -nvL INPUTで見ており、iptablesは空です
次にiptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP をPINGされるマシンに追加します
次にiptables -nvL INPUTを使って以下のように確認します。
Chain INPUT(ポリシーACCEPT 592パケット、55783バイト)
PKTSバイトのターゲットはProtのオプトインアウトソースの先です。
8 672 ドロップ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP タイプ8
この時点で、PIGパケットを送信したマシンが表示していたPIGパケットは停止しました。
この時点で、pingを受けるマシンにiptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPTを追加します
次にiptables -nvL INPUTを使って以下のように確認します。
Chain INPUT(ポリシーACCEPT 678パケット、62701バイト)
PKTSバイトのターゲットはProtのオプトインアウトソースの先です。
21 1764 ドロップ ICMP -- * * 0.0.0.0/0 0.0.0/0 ICMP タイプ8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp タイプ8
iptables表示にルールが追加されましたが、PIGパケットを送信したマシンが表示するPIGパケットは依然として停止されており、新たに追加されたルールではPIGパケットを解放できないことが証明されています
iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT を PINGED マシンに追加
次にiptables -nvL INPUTを使って以下のように確認します。
Chain INPUT(ポリシーACCEPT 770パケット、70223バイト)
PKTSバイトのターゲットはProtのオプトインアウトソースの先です。
2 168 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp タイプ8
31 2604 ドロップ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP タイプ8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp タイプ8
iptable表示新しいルールが追加されると、そのPIGパケットを送信したマシンが表示するPIGパケットが再びジャンプし、新たに追加されたルールがPIGパケットを解放できることを証明します
両ルールの唯一の違いは、-Aと-IがDROPルールの後にルールを追加し、-IルールがDROPルールの前に加えることです。
IPTABLEはトップダウンでルールマッチングされ、リリースルールは禁止ルールより先に適用されなければなりません。
iptablesは上から下へ実行され、aは後ろに付け加えられ、iは前面に追加されます。

[Linux] CentOSのiptablesは論理を実行し、-I -Aパラメータを解析します

関連記事

閲覧したセクション