Эта статья является зеркальной статьёй машинного перевода, пожалуйста, нажмите здесь, чтобы перейти к оригиналу.

Architect_Programmer_Code Сельскохозяйственная сеть»Архитектор Другие технологии Windows/Linux CentOS iptables, выполняющие логику и парсинг параметра -I -A
Вид: 12043|Ответ: 0

[linux] CentOS iptables, выполняющие логику и парсинг параметра -I -A

[Скопировать ссылку]
Опубликовано 07.12.2015 16:16:36 | | |

Когда я впервые столкнулся с Iptables, я был запутан в параметрах -I и -A, -Я вставил одно или несколько правил, а -A было дополнительным правилом.
Всё дело в добавлении правила, в чём разница между ними?
Эксперимент:
Я взял две машины: одна отправила посылку PING, а другая — PING.
Обе машины смотрят на него с iptables -nvL INPUT, и iptables пуст
Затем добавьте iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP к машине, которая ПИНГУЕТСЯ
Затем используйте iptables -nvL INPUT для следующей проверки:
Chain INPUT (политика ACCEPT 592 пакета, 55783 байта)
Байты PKTS Target Prot Opt in Out Source Destination
    8 672 DROP ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP типа 8
В этот момент пакет PING, отображаемый машиной, отправившей пакет PING, прекратился.
В этот момент добавляем iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT к машине, которую пингуют
Затем используйте iptables -nvL INPUT для следующей проверки:
Chain INPUT (политика ACCEPT 678 пакетов, 62701 байт)
Байты PKTS Target Prot Opt in Out Source Destination
   21 1764 DROP ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP типа 8
    0 0 ПРИНЯТЬ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP типа 8
В отображение iptables добавлено правило, но пакеты PING, отображаемые машиной, отправившей пакет PING, всё равно останавливаются, что доказывает, что новодобавленное правило не может освободить пакет PING
Добавить iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT на машину с пингом
Затем используйте iptables -nvL INPUT для следующей проверки:
Chain INPUT (политика ACCEPT 770 пакетов, 70223 байта)
Байты PKTS Target Prot Opt in Out Source Destination
    2 168 ACCEPT ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP типа 8
   31 2604 DROP ICMP -- * * 0.0.0.0/0 0.0.0/0 ICMP типа 8
    0 0 ПРИНЯТЬ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP типа 8
Отображать iptables Добавляется новое правило, и пакет PING, отображаемый машиной, отправившей пакет PING, снова скачет, доказывая, что новодобавленное правило может освободить пакет PING
Единственное отличие между этими двумя правилами в том, что -A и -I добавляю правило после правила DROP, а правило -I добавляю перед правилом DROP.
IPtables подбираются по правилам сверху вниз, и правила выпуска должны вступить в силу до появления бана.
IPTABLES выполняется сверху вниз — a добавляется сзади, i добавляется спереди.




Предыдущий:530 Пожалуйста, войдите в систему с разрешением ошибок USER и PASS
Следующий:Понимайте входящие, выходные, переадресативные и запрещающие пинги

Связанные публикации
Отказ:
Всё программное обеспечение, программные материалы или статьи, публикуемые Code Farmer Network, предназначены исключительно для учебных и исследовательских целей; Вышеуказанный контент не должен использоваться в коммерческих или незаконных целях, иначе пользователи несут все последствия. Информация на этом сайте взята из Интернета, и споры по авторским правам не имеют отношения к этому сайту. Вы должны полностью удалить вышеуказанный контент с компьютера в течение 24 часов после загрузки. Если вам нравится программа, пожалуйста, поддержите подлинное программное обеспечение, купите регистрацию и получите лучшие подлинные услуги. Если есть нарушение, пожалуйста, свяжитесь с нами по электронной почте.
Mail To:help@itsvse.com