我想知道在iptables中接受和放弃策略有什么区别。
以下是我认为它的工作原理:
丢弃策略将丢弃所有数据包,除了那些您制定规则的数据包。 所以你手动打开端口和其他端口是closures的。 接受策略将接受除您制定规则的那些数据包之外的所有数据包。 因此,目前有些服务正在工作的所有端口都是打开的,而其他端口是closures的。
我做了一些研究和大部分人的build议下降政策,因为它更安全。 我想只要你知道你正在运行什么服务,根本就没有什么区别。 有人可以告诉我,如果我错了,解释。
回到你过去的日子,你允许一切,只是过滤了一些已知的“坏东西”。 这相当于使用ACCEPT策略。 然而,这种思维方式不再是最佳实践。 错过阻止你不想要的东西是非常容易的,新的攻击,比如扩展DDOS攻击一直在发展。
因此,现在最好的做法是只允许你实际需要的特定东西。 理由是,你会注意到,如果应该允许通过的东西不是。 而且不得不手动让所有东西都得更仔细地考虑一切。 这相当于DROP政策。
接受策略将接受除您制定规则的那些数据包之外的所有数据包。
正确的语句是“接受策略将接受所有的数据包,除了那些你拒绝或放弃规则的数据包”。
其次为什么有一个默认的下降政策更安全?
否则,您必须为任何您不希望访问的人创build“拒绝或放弃”规则。
例如,有两个主机X和Y需要在端口111上访问服务器Z.所以你想接受X,并且否认Y除了X之外的其他所有人。在这种情况下,你必须创build两个规则(如果你有默认的ACCEPT策略):
但是你有默认的DROP策略,你只能创build一个规则:
默认的下拉将处理其他的一切。
希望这可以帮助!
没有魔法。 有一系列规则, 最后一行是ACCEPT或DROP。 这是默认策略的含义。 我的意见不build议在一般情况下使用端口过滤。 只运行你想要达到的外部ips的服务,那么你不需要过滤端口。 就这样。