标签:详情 规则 net pre code 双向 操作 次数 阅读
相关动作
REJECT
LOG
SNAT
DNAT
MASQUERADE
REDIRECT
详情请仔细阅读此博主文章
iptables 小结
1. 规则的顺序非常重要
因为链中规则的顺序是自上而下的,当报文已经被前面的规则匹配到,iptables 会执行对应的动作,而后面即使有可以匹配到刚才已经执行过相应的动作的报文,也不会再执行相应的动作了(第一次匹配到规则的动作为 LOG 除外),所以,针对相同的服务规则,更严格的规则应该放在前面
2.当规则中有多个匹配条件时,条件之间默认存在 "与" 的关系,即必须满足规则中的所有条件,才会执行规则的相应动作
3. 在没有顺序要求的情况下,不同类别的规则,被匹配次数多的、频率高的规则应该放在前面
比如:没有特殊要求外,有两条规则,sshd、web;一天之中,有 20000 个请求访问 web 服务,200 个请求访问 sshd 服务,那么应该把 web 的规则放在前面,减少资源的浪费;不然 sshd 放在前面也会被验证与 web 访问量同样的次数
4. 当 iptables 所在知己作为网络防火墙时,在配置规则时,应该着重考虑其方向性,双向性,由内到外,由外到内
5. 在配置 iptables 白名单时,往往会将链的默认策略设置为 ACCEPT,通过在链的最后设置 REJECT 规则来实现白名单机制,而不是将默认策略改为 DROP,这样可以避免误操作管理员自己把自己关在门外
标签:详情 规则 net pre code 双向 操作 次数 阅读
原文地址:http://blog.51cto.com/12384628/2308345