|
|
게시됨 2015. 12. 7. 오후 4:16:36
|
|
|
Iptables를 처음 접했을 때, 저는 -I와 -A 매개변수에 대해 혼란스러웠고, -저는 하나 이상의 규칙을 삽입했으며, -A는 추가 규칙이었습니다.
결국 규칙을 추가하는 것이 중요한데, 두 가지의 차이가 무엇일까요?
실험:
두 대의 기계를 가져갔는데, 하나는 PING 패키지를 보냈고 다른 하나는 PING 패키지였습니다.
두 기기 모두 iptables -nvL INPUT으로 보고, iptables는 비어 있습니다
그 다음 핑 대상 기계에 iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP을 추가합니다
그 다음 iptables -nvL INPUT을 사용하여 다음과 같이 확인합니다:
체인 입력 (정책 ACCEPT 592 패킷, 55783 바이트)
PKTS 바이트 대상 Prot opt in out 소스 목적지
8 672 드롭 ICMP -- * * 0.0.0.0/0 0.0.0/0 ICMP 타입 8
이 시점에서 PING 패킷을 보낸 기계가 표시하던 PING 패킷이 중단되었습니다.
이 시점에서 핑 대상 기계에 iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT를 추가합니다
그 다음 iptables -nvL INPUT을 사용하여 다음과 같이 확인합니다:
체인 입력 (정책 ACCEPT 678 패킷, 62701 바이트)
PKTS 바이트 대상 Prot opt in out 소스 목적지
21 1764 드롭 ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP 타입 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 ICMP 타입 8
iptables 디스플레이에 규칙이 추가되었지만, PING 패킷을 보낸 기계가 표시하는 PING 패킷은 여전히 중지되어 있어, 새로 추가된 규칙이 PING 패킷을 해제할 수 없음을 증명합니다
iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT 추가하여 PINGED 기계에
그 다음 iptables -nvL INPUT을 사용하여 다음과 같이 확인합니다:
체인 입력 (정책 ACCEPT 770 패킷, 70223 바이트)
PKTS 바이트 대상 Prot opt in out 소스 목적지
2 168 ICMP 수락 -- * * 0.0.0.0/0 0.0.0/0 ICMP 타입 8
31 2604 드롭 ICMP -- * * 0.0.0.0/0 0.0.0/0 ICMP 타입 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 ICMP 타입 8
iptables 표시 새로운 규칙이 추가되면, PING 패킷을 보낸 기계가 표시하는 PING 패킷이 다시 점프하여 새로 추가된 규칙이 PING 패킷을 해제할 수 있음을 증명합니다
두 규칙의 유일한 차이점은 -A와 -I가 DROP 규칙 뒤에 규칙을 추가하고, -I 규칙이 DROP 규칙 앞에 추가된다는 점입니다.
iptables는 위에서부터 규칙이 매치되며, 출시 규칙이 밴 규칙보다 먼저 적용되어야 합니다.
iptables는 위에서 아래로 실행되며, a는 뒤에 덧붙이고 i는 앞에 추가됩니다.
|
이전의:530 USER 및 PASS 오류 해결 기록 부탁드립니다다음:입력, 출력, 전달, 금지 핑을 이해하세요
|
