相關動作REJECT
LOG
SNAT
DNAT
MASQUERADE
REDIRECT
詳情請仔細閱讀此博主文章
iptables 小結1. 規則的順序非常重要
因爲鏈中規則的順序是自上而下的,當報文已經被前面的規則匹配到,iptables 會執行對應的動作,而後面即使有可以匹配到剛纔已經執行過相應的動作的報文,也不會再執行相應的動作了(第一次匹配到規則的動作爲 LOG 除外),所以,針對相同的服務規則,更嚴格的規則應該放在前面
2.當規則中有多個匹配條件時,條件之間默認存在 "與" 的關係,即必須滿足規則中的所有條件,纔會執行規則的相應動作
3. 在沒有順序要求的情況下,不同類別的規則,被匹配次數多的、頻率高的規則應該放在前面
比如:沒有特殊要求外,有兩條規則,sshd、web;一天之中,有 20000 個請求訪問 web 服務,200 個請求訪問 sshd 服務,那麼應該把 web 的規則放在前面,減少資源的浪費;不然 sshd 放在前面也會被驗證與 web 訪問量同樣的次數
4. 當 iptables 所在知己作爲網絡防火牆時,在配置規則時,應該着重考慮其方向性,雙向性,由內到外,由外到內
5. 在配置 iptables 白名單時,往往會將鏈的默認策略設置爲 ACCEPT,通過在鏈的最後設置 REJECT 規則來實現白名單機制,而不是將默認策略改爲 DROP,這樣可以避免誤操作管理員自己把自己關在門外