Ten artykuł jest lustrzanym artykułem tłumaczenia maszynowego, kliknij tutaj, aby przejść do oryginalnego artykułu.

Architect_Programmer_Code Sieć Rolnicza»Architekt Inne technologie Windows/Linux CentOS iptables uruchamiający logikę i parsujący parametr -I -A
Widok: 12043|Odpowiedź: 0

[linux] CentOS iptables uruchamiający logikę i parsujący parametr -I -A

[Skopiuj link]
Opublikowano 07.12.2015 16:16:36 | | |

Kiedy po raz pierwszy zetknąłem się z Iptables, byłem zdezorientowany parametrami -I i -A, -wstawiłem jedną lub więcej reguł, a -A było dodatkową regułą.
Chodzi o dodanie zasady, jaka jest różnica między nimi?
Eksperyment:
Wziąłem dwa urządzenia, jeden wysłał paczkę PING, a drugi PING.
Obie maszyny patrzą na to za pomocą iptables -nvL INPUT, a iptables jest pusty
Następnie dodaj iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP do maszyny PINGOWANEJ
Następnie użyj iptables -nvL INPUT, aby sprawdzić w następujący sposób:
Łańcuch INPUT (polityka AKCEPTUJ 592 pakiety, 55783 bajty)
PKTS bajty docelowe prot opt in out source destination
    8 672 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
W tym momencie pakiet PING wyświetlany przez maszynę, która go wysłała, przestał działać.
W tym momencie dodaj iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT do maszyny PINGOWANEJ
Następnie użyj iptables -nvL INPUT, aby sprawdzić w następujący sposób:
Łańcuchowe WEJŚCIE (polityka AKCEPTUJE 678 pakietów, 62701 bajtów)
PKTS bajty docelowe prot opt in out source destination
   21 1764 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 ICMP typ 8
    0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
Do wyświetlacza iptables dodano regułę, ale pakiety PING wyświetlane przez maszynę, która wysłała pakiet PING, są nadal zatrzymane, co dowodzi, że nowo dodana reguła nie może zwolnić pakietu PING
Dodaj iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT do maszyny PINGOWANEJ
Następnie użyj iptables -nvL INPUT, aby sprawdzić w następujący sposób:
Łańcuchowe INPUT (polityka AKCEPTUJ 770 pakietów, 70223 bajty)
PKTS bajty docelowe prot opt in out source destination
    2 168 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
   31 2604 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 ICMP typ 8
    0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
Wyświetlanie iptables Dodana jest nowa reguła, a pakiet PING wyświetlany przez maszynę, która wysłała pakiet PING, ponownie skacze, co dowodzi, że nowo dodana reguła może zwolnić pakiet PING
Jedyna różnica między tymi dwoma regułami polega na tym, że -A i -dodaję regułę po zasadzie DROP, a regułę -dodaję przed regułą DROP.
IPTable są dopasowywane od góry do dołu, a zasady wydania muszą wejść w życie przed wprowadzeniem banów.
iptables jest wykonywany od góry do dołu – a jest dodawane z tyłu – i jest dodawane z przodu.




Poprzedni:530 Proszę logować się za pomocą USER i PASS rozwiązywanie błędów
Następny:Zrozum sygnały wejściowe, wyjściowe, przekierowanie i zakazujące

Powiązane wpisy
Zrzeczenie się:
Całe oprogramowanie, materiały programistyczne lub artykuły publikowane przez Code Farmer Network służą wyłącznie celom edukacyjnym i badawczym; Powyższe treści nie mogą być wykorzystywane do celów komercyjnych ani nielegalnych, w przeciwnym razie użytkownicy ponoszą wszelkie konsekwencje. Informacje na tej stronie pochodzą z Internetu, a spory dotyczące praw autorskich nie mają z nią nic wspólnego. Musisz całkowicie usunąć powyższą zawartość z komputera w ciągu 24 godzin od pobrania. Jeśli spodoba Ci się program, wspieraj oryginalne oprogramowanie, kup rejestrację i korzystaj z lepszych, autentycznych usług. W przypadku naruszenia praw prosimy o kontakt mailowy.
Mail To:help@itsvse.com