Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Andere technologieën Windows/Linux CentOS iptables draaien logica en parsen de parameter -I -A
Bekijken: 12043|Antwoord: 0

[Linux] CentOS iptables draaien logica en parsen de parameter -I -A

[Link kopiëren]
Geplaatst op 07-12-2015 16:16:36 | | |

Toen ik voor het eerst in aanraking kwam met Iptables, was ik in de war over de parameters -I en -A, -ik voegde een of meer regels in, en -A was een extra regel.
Het draait allemaal om het toevoegen van een regel: wat is het verschil tussen de twee?
Experiment:
Ik heb twee machines gebruikt, één stuurde een PING-pakket en de andere was PING.
Beide machines bekijken het met iptables -nvL INPUT, en iptables is leeg
Voeg dan iptables toe -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP aan de machine die wordt PINGED
Gebruik vervolgens iptables -nvL INPUT om als volgt te controleren:
Chain INPUT (beleid ACCEPTEERT 592 pakketten, 55783 bytes)
pkts bytes target prot opt in out bronbestemming
    8 672 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Op dit punt stopte het PING-pakket dat door de machine werd weergegeven dat het PING-pakket verstuurde.
Voeg op dit moment iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT toe aan de machine die wordt PINGED
Gebruik vervolgens iptables -nvL INPUT om als volgt te controleren:
Chain INPUT (beleid ACCEPTEERT 678 pakketten, 62701 bytes)
pkts bytes target prot opt in out bronbestemming
   21 1764 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
    0 0 ACCEPTEER icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Er is een regel toegevoegd aan het IPTABLES-display, maar de PING-pakketten die door de machine die het PING-pakket heeft verzonden worden weergegeven, blijven gestopt, wat bewijst dat de nieuw toegevoegde regel het PING-pakket niet kan vrijgeven
Voeg iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT toe aan de PINGED-machine
Gebruik vervolgens iptables -nvL INPUT om als volgt te controleren:
Chain INPUT (beleid ACCEPTEERT 770 pakketten, 70223 bytes)
pkts bytes target prot opt in out bronbestemming
    2 168 ACCEPTEREN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
   31 2604 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
    0 0 ACCEPTEER icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Displayiptables Er wordt een nieuwe regel toegevoegd, en het PING-pakket dat door de machine wordt weergegeven die het PING-pakket heeft verzonden, springt opnieuw, waarmee wordt aangetoond dat de nieuw toegevoegde regel het PING-pakket kan vrijgeven
Het enige verschil tussen de twee regels is dat -A en -ik de regel na de DROP-regel toevoeg, en de -ik-regel vóór de DROP-regel.
IPtables worden van bovenaf op de regels afgestemd, en de release-regels moeten van kracht worden voordat de banregels worden uitgevoerd.
iptables wordt van boven naar beneden uitgevoerd - A wordt aan de achterkant toegevoegd - I wordt aan de voorkant toegevoegd.




Vorig:530 Log alstublieft in met GEBRUIKER en PASS-foutoplossing
Volgend:Begrijp input, output, forward en het verbieden van pings

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com