码迷,mamicode.com
首页 > 其他好文 > 详细

skill——iptables(六)

时间:2018-10-24 16:49:48      阅读:149      评论:0      收藏:0      [点我收藏+]

标签:详情   规则   net   pre   code   双向   操作   次数   阅读   

相关动作

REJECT
LOG
SNAT
DNAT
MASQUERADE
REDIRECT
详情请仔细阅读此博主文章

iptables 小结

1. 规则的顺序非常重要
因为链中规则的顺序是自上而下的,当报文已经被前面的规则匹配到,iptables 会执行对应的动作,而后面即使有可以匹配到刚才已经执行过相应的动作的报文,也不会再执行相应的动作了(第一次匹配到规则的动作为 LOG 除外),所以,针对相同的服务规则,更严格的规则应该放在前面
2.当规则中有多个匹配条件时,条件之间默认存在 "与" 的关系,即必须满足规则中的所有条件,才会执行规则的相应动作
3. 在没有顺序要求的情况下,不同类别的规则,被匹配次数多的、频率高的规则应该放在前面
比如:没有特殊要求外,有两条规则,sshd、web;一天之中,有 20000 个请求访问 web 服务,200 个请求访问 sshd 服务,那么应该把 web 的规则放在前面,减少资源的浪费;不然 sshd 放在前面也会被验证与 web 访问量同样的次数
4. 当 iptables 所在知己作为网络防火墙时,在配置规则时,应该着重考虑其方向性,双向性,由内到外,由外到内
5. 在配置 iptables 白名单时,往往会将链的默认策略设置为 ACCEPT,通过在链的最后设置 REJECT 规则来实现白名单机制,而不是将默认策略改为 DROP,这样可以避免误操作管理员自己把自己关在门外

skill——iptables(六)

标签:详情   规则   net   pre   code   双向   操作   次数   阅读   

原文地址:http://blog.51cto.com/12384628/2308345

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!