skill——iptables（六）

相關動做

REJECT
LOG
SNAT
DNAT
MASQUERADE
REDIRECT
詳情請仔細閱讀此博主文章

iptables 小結

1. 規則的順序很是重要
由於鏈中規則的順序是自上而下的，當報文已經被前面的規則匹配到，iptables 會執行對應的動做，然後面即便有能夠匹配到剛纔已經執行過相應的動做的報文，也不會再執行相應的動做了（第一次匹配到規則的動做爲 LOG 除外），因此，針對相同的服務規則，更嚴格的規則應該放在前面
2.當規則中有多個匹配條件時，條件之間默認存在 "與" 的關係，即必須知足規則中的全部條件，纔會執行規則的相應動做
3. 在沒有順序要求的狀況下，不一樣類別的規則，被匹配次數多的、頻率高的規則應該放在前面
好比：沒有特殊要求外，有兩條規則，sshd、web；一天之中，有 20000 個請求訪問 web 服務，200 個請求訪問 sshd 服務，那麼應該把 web 的規則放在前面，減小資源的浪費；否則 sshd 放在前面也會被驗證與 web 訪問量一樣的次數
4. 當 iptables 所在知己做爲網絡防火牆時，在配置規則時，應該着重考慮其方向性，雙向性，由內到外，由外到內
5. 在配置 iptables 白名單時，每每會將鏈的默認策略設置爲 ACCEPT，經過在鏈的最後設置 REJECT 規則來實現白名單機制，而不是將默認策略改成 DROP，這樣能夠避免誤操做管理員本身把本身關在門外