iptables, 기본 정책 및 규칙

기본 정책과 -j DROP끝에 일치하지 않는 패킷을 삭제하는 데 차이가 있습니까?

처럼:

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

vs

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

내가 관심을 갖는 이유는 로그가있는 체인을 만들고 기본 정책으로 주장 할 수 없기 때문에 두 번째 예를 사용해야하기 때문입니다.

기술적 인 관점에서 볼 때, 패킷은 어느 쪽이든 떨어집니다.

그러나 Sirex는 테이블 기본 규칙을 전환 할 때 중요한 것을 잊어 버리면 약간 고통 스러울 수 있다는 점에서 매우 정확합니다.

IPTables로 시간을 보낸 후에는 환경 설정을 기반으로 시스템을 구축하고 환경 설정을 찾을 수 있습니다.

예. DROP 정책을 사용한 다음 SSH를 통해 연결하고 테이블을 플러시 ( iptables -F)하면 기본 정책이 플러시되지 않기 때문에 자신을 잠급니다.

원격 시스템 에서이 작업을 수행했습니다. 아파요.

(다른 교훈은, 방화벽을 잠시 없애고 싶다면 -F +가 service iptables stop아닌을 사용하십시오 )iptablesservice iptables reload

기본 정책은 관리하기 쉬워 질 가능성이 더 높습니다. 마지막에 추가하는 것을 잊지 마십시오.

몇 시간 전에 나와 같은 정보를 필요로하는 사람들을 위해이 주제에 대해 한 가지 더 생각할 수도 있습니다.

후자의 방법 :

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

나중에 추가 규칙을 추가 할 수 없습니다 (추가 규칙은 범용 삭제 규칙 다음에 나타나므로 효과가 없으므로) : 원하는 위치에 대한 명시적인 진술로 규칙을 삽입해야합니다.

iptables -I INPUT 1 --dport 8080 -j ACCEPT

대신에

iptables -A INPUT --dport 80 -j ACCEPT

요구 사항에 따라 평소처럼 규칙을 추가하는 것이 아니라 기존 규칙을 실제로 통과하도록 규칙을 추가하거나 나중에 추가하도록 요구하면 보안에 도움이 될 수 있습니다.

어제 벌어 들인이 20 분 동안 새로 설치 한 서비스가 모두 작동하고 있는데도 응답하지 않는 이유를 확인했습니다.

기본 정책은 상당히 제한되어 있지만 처리되지 않은 패킷이 올바른 방식으로 처리되도록 백엔드를 양호하게 만드십시오.

해당 패킷을 기록해야 할 경우에는 최종 규칙이 필요합니다. 이것은 정책을 기록하고 적용하는 체인 일 수 있습니다. 또한 정책을 기록하고 처리하도록 할 수도 있습니다.

이러한 정책 접근 방식과 최종 정책 규칙을 고려하십시오.

• 정책을 사용하고 수락하고 원하는 규칙을 최종 규칙으로 재정의하십시오. 이렇게하면 원격 위치에서 호스트를 관리 할 때 보호 할 수 있습니다. 규칙을 삭제하면 hosts.allow와 같은 보조 방어선 만 남게됩니다. 최종 규칙을 삭제하면 대부분 개방형 또는 완전 개방형 구성이됩니다.
• 원하는 정책을 설정하고 최종 정책 규칙으로 백스톱하십시오. 호스트에 대한 물리적 또는 콘솔 액세스 권한이있는 경우 더 안전 할 수 있습니다. 규칙을 삭제하면 정책이 수락되지 않는 한 모든 서비스에 대한 액세스가 느슨해집니다. 최종 규칙을 삭제해도 여전히 보호됩니다.