|
|
Опубліковано 07.12.2015 16:16:36
|
|
|
Коли я вперше познайомився з Iptables, я був збитий з пантелику щодо параметрів -I та -A, -Я вставив одне або кілька правил, і -A було додатковим правилом.
Все зводиться до додавання правила, у чому різниця між ними?
Експеримент:
Я взяв дві машини: одна надіслала посилку PING, а інша — PING.
Обидві машини переглядають його за допомогою iptables -nvL INPUT, і iptables порожній
Потім додайте iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP до машини, що PING-ується
Потім використовуйте iptables -nvL INPUT для перевірки наступного способу:
Ланцюговий ВХІД (політика ПРИЙМАТИ 592 пакети, 55783 байти)
Байти PKTS Target Prot Opt in Out source Destination
8 672 DROP ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP типу 8
У цей момент пакет PING, який відображався машиною, що передавала пакет PING, припинявся.
У цей момент додайте iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT до машини, що PING-ується
Потім використовуйте iptables -nvL INPUT для перевірки наступного способу:
Ланцюговий ВХІД (політика ПРИЙМАТИ 678 пакетів, 62701 байт)
Байти PKTS Target Prot Opt in Out source Destination
21 1764 DROP ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP типу 8
0 0 ПРИЙНЯТИ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP тип 8
До дисплея iptables додано правило, але пакети PING, які відображається машиною, що надіслала пакет PING, все ще зупиняються, що доводить, що нове правило не може відпустити пакет PING
Додати iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ПРИЙНЯТИ на ПІНГОВУ машину
Потім використовуйте iptables -nvL INPUT для перевірки наступного способу:
Вхід ланцюга (політика ПРИЙМАТИ 770 пакетів, 70223 байт)
Байти PKTS Target Prot Opt in Out source Destination
2 168 ПРИЙНЯТИ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP тип 8
31 2604 DROP ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP тип 8
0 0 ПРИЙНЯТИ ICMP -- * * 0.0.0.0/0 0.0.0.0/0 ICMP тип 8
Відображення iptables Додається нове правило, і пакет PING, який відображається комп'ютером, що надіслала пакет PING, знову стрибне, доводячи те, що новододане правило може відпустити пакет PING
Єдина різниця між цими двома правилами в тому, що -A і -I додаю правило після правила DROP, а -I додаю правило перед правилом DROP.
IpTables узгоджуються з правилами зверху вниз, і правила випуску мають набути чинності до появи бану.
IPTABLES виконується зверху вниз — a додається ззаду — i додається спереду.
|
Попередній:530 Будь ласка, увійдіть у систему з розв'язкою помилок USER та PASSНаступний:Розумійте вхідні, вихідні, переадресовані та заборонені пінги
|
