방화벽에 다음과 같은 많은 iptables 규칙이 있습니다.
iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT
모든 주소에 대해 두 가지 규칙 (tcp에 대한 규칙과 udp에 대한 규칙)이있는 지름길이 있습니까? 나는 이런 식으로 할 수 있다는 것을 의미한다.
iptables -A zone_lan_forward -p tcp,udp -d 1.2.3.0/24 -j ACCEPT
답변:
TCP 및 UDP 패킷을 허용하는 새 체인을 만들고 개별 IP / 포트 허용 규칙에서 해당 체인으로 이동하십시오.
iptables -N ACCEPT_TCP_UDP
iptables -A ACCEPT_TCP_UDP -p tcp -j ACCEPT
iptables -A ACCEPT_TCP_UDP -p udp -j ACCEPT
iptables -A zone_lan_forward -d 1.2.3.0/24 -j ACCEPT_TCP_UDP
이로 인해 몇 줄의 추가 오버 헤드가 추가되지만 TCP / UDP 규칙 수는 절반으로 줄어 듭니다.
나는 할 수 없습니다 재진입 -p만 ICMP에 대한 방화벽을 열고, 또한 다른 프로토콜을하지 않을 때문에, 인수를. iptables 매뉴얼 페이지에서 -p:
지정된 프로토콜은 tcp, udp, icmp 또는 all 중 하나이거나 이러한 프로토콜 중 하나 또는 다른 프로토콜을 나타내는 숫자 값일 수 있습니다. / etc / protocols의 프로토콜 이름도 허용됩니다.
현재 TCP, UDP 및 ICMP를 제외한 다른 프로토콜을 듣지 않을 수도 있지만 미래에 어떤 영향을 줄지 누가 알 수 있습니까? 방화벽을 불필요하게 열어 두는 것은 좋지 않습니다.
면책 조항 : iptables 명령은 내 머리 꼭대기에 있습니다. ATM을 테스트 할 상자에 액세스 할 수 없습니다.
-p all모든 --dport규칙에 사용 zone_lan_forward하면 원하는 것을 얻을 수 있습니다. 물론 체인으로 인해 비 TCP / UDP 프로토콜을 사용하여 해당 체인에 연결할 수있는 다른 방법이 없다고 가정합니다 ACCEPT_TCP_UDP. 여러 사람이 규칙을 수정할 수 있고 누군가가이 미묘함을 이해하지 않고 규칙을 수정하고 편집하는 경우 분명히 이것은 위험한 전략입니다.
ACCEPT_TCP_UDP이동하여 zone_lan_forward로 이동합니다 ACCEPT.
ICMP 트래픽에 관심이 없다면 (어쨌든 규칙으로 전역 적으로 차단할 수 있음) -p 플래그를 생략하면 모든 프로토콜이 적용됩니다.