Есть ли разница в отбрасывании несогласованных пакетов с политикой -j DROP
по умолчанию против конца?
Подобно:
iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT
против
iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP
Причина, по которой меня это волнует, заключается в том, что я не могу создать цепочку с журналом и использовать ее в качестве политики по умолчанию, поэтому мне нужно будет использовать второй пример.
Ответы:
С технической точки зрения, нет. Пакет отбрасывается в любом случае.
Но Sirex совершенно прав в том, что может быть немного больно, если вы забудете что-то важное при переключении правил таблицы по умолчанию.
Потратив некоторое время на IPTables, вы, скорее всего, найдете предпочтения и создадите свои системы вокруг этого в вашей среде.
источник
Да. Если вы используете политику DROP, а затем подключаетесь по SSH и очищаете таблицу (
iptables -F
), вы блокируете себя, поскольку политика по умолчанию не очищается.Я сделал это на удаленной системе. Больно.
(Другой урок: если вы хотите на время избавиться от брандмауэра, используйте
service iptables stop
, а неiptables
-F +service iptables reload
)Политика по умолчанию, вероятно, более безопасна, так как ей легче управлять. Вы не можете забыть добавить его в конец.
источник
Может быть, еще одна вещь в этой теме для тех, кому нужна эта информация, как я несколько часов назад.
Последний способ:
не позволяет вам добавить правило позже (поскольку добавленное правило появится после универсального правила удаления и, следовательно, не будет иметь никакого эффекта), вам придется вставить правило с явным указанием желаемой позиции:
вместо того
В зависимости от ваших потребностей это может помочь безопасности чуть-чуть, потребовав от вас или от того, что позже добавит правило, чтобы действительно следовать существующим правилам, а не просто добавлять его как обычно.
Это знание, которое я заработал вчера, проверяя двадцать минут, почему моя недавно установленная служба не отвечает, даже если все работает.
источник
Политики по умолчанию довольно ограничены, но обеспечивают хорошую поддержку для обеспечения надлежащей обработки необработанных пакетов.
Если вам нужно (хотите) регистрировать эти пакеты, вам нужно окончательное правило. Это может быть цепочка, которая регистрирует и применяет политику. Вы также можете просто войти и позволить политике справиться с этим.
Рассмотрим эти подходы к политике и окончательное правило политики.
источник