Denna artikel är en spegelartikel om maskinöversättning, klicka här för att hoppa till originalartikeln.

Architect_Programmer_Code Jordbruksnätverket»Arkitekt Andra teknologier Windows/Linux CentOS iptables kör logik och parsar parametern -I -A
Utsikt: 12043|Svar: 0

[Linux] CentOS iptables kör logik och parsar parametern -I -A

[Kopiera länk]
Publicerad på 2015-12-07 16:16:36 | | |

När jag först kom i kontakt med Iptables var jag förvirrad över parametrarna -I och -A, -jag infogade en eller flera regler, och -A var en extra regel.
Det handlar om att lägga till en regel, vad är skillnaden mellan de två?
Experiment:
Jag tog två maskiner, en skickade ett PING-paket och den andra var PING.
Båda maskinerna tittar på det med iptables -nvL INPUT, och iptables är tomt
Lägg sedan till iptables -A INPUT -p icmp --icmp-typ 8 -s 0/0 -j DROP till maskinen som PING:as
Använd sedan iptables -nvL INPUT för att kontrollera följande:
Chain INPUT (policy ACCEPT 592 paket, 55783 byte)
PKTS bytes mål prot opt in out källdestination
    8 672 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
Vid denna punkt stannade PING-paketet som visades av maskinen som skickade PING-paketet.
Vid denna tidpunkt, lägg till iptables -A INPUT -p icmp --icmp-typ 8 -s 0/0 -j ACCEPT till maskinen som PING:as
Använd sedan iptables -nvL INPUT för att kontrollera följande:
Chain INPUT (policy ACCEPT 678 paket, 62701 byte)
PKTS bytes mål prot opt in out källdestination
   21 1764 SLÄPP ICMP -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
    0 0 ACCEPTERA icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
En regel har lagts till i iptables-displayen, men PING-paketen som visas av maskinen som skickade PING-paketet stoppas fortfarande, vilket bevisar att den nyligen tillagda regeln inte kan släppa PING-paketet
Lägg till iptables -I INPUT -p icmp --icmp-typ 8 -s 0/0 -j ACCEPTERA till den PINGADE maskinen
Använd sedan iptables -nvL INPUT för att kontrollera följande:
Chain INPUT (policy ACCEPT 770 paket, 70223 byte)
PKTS bytes mål prot opt in out källdestination
    2 168 ACCEPTERAR icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
   31 2604 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
    0 0 ACCEPTERA icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp typ 8
Visa iptables En ny regel läggs till, och PING-paketet som visas av maskinen som skickade PING-paketet hoppar igen, vilket bevisar att den nyligen tillagda regeln kan släppa PING-paketet
Den enda skillnaden mellan de två reglerna är att -A och -Jag lägger till regeln efter DROP-regeln, och -I lägger till regeln före DROP-regeln.
IP-tabeller är regelmatchade uppifrån och ner, och release-reglerna måste träda i kraft innan avstängningsreglerna.
iptables körs från topp till botten – a läggs till på baksidan – i läggs till fram.




Föregående:530 Vänligen logga med ANVÄNDARE och PASS-felupplösning
Nästa:Förstå in-, ut-, vidarebefordrande och förbud mot pingar

Relaterade inlägg
Friskrivning:
All programvara, programmeringsmaterial eller artiklar som publiceras av Code Farmer Network är endast för lärande- och forskningsändamål; Ovanstående innehåll får inte användas för kommersiella eller olagliga ändamål, annars kommer användarna att bära alla konsekvenser. Informationen på denna sida kommer från internet, och upphovsrättstvister har inget med denna sida att göra. Du måste helt radera ovanstående innehåll från din dator inom 24 timmar efter nedladdning. Om du gillar programmet, vänligen stöd äkta programvara, köp registrering och få bättre äkta tjänster. Om det finns något intrång, vänligen kontakta oss via e-post.
Mail To:help@itsvse.com