Есть ли разница в отбрасывании несовпадающих пакетов с политикой по умолчанию против -j DROP
в конце?
Подобно:
iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT
против
iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP
Причина, по которой меня это волнует, заключается в том, что я не могу создать цепочку с журналом и использовать его как политику по умолчанию, поэтому мне нужно будет использовать второй пример.
Да. Если вы используете политику DROP, а затем подключаетесь по SSH и очищаете таблицу (iptables -F
), вы блокируете себя, поскольку политика по умолчанию не сбрасывается.
Я сделал это в удаленной системе. Больно.
(Другой усвоенный урок: если вы хотите на время избавиться от брандмауэра, используйте service iptables stop
не iptables
-F + service iptables reload
)
Однако политика по умолчанию, вероятно, более безопасна из-за того, что ею проще управлять. Вы не можете забыть добавить его в конец.
С технической точки зрения нет. Пакет в любом случае будет отброшен.
Но Sirex совершенно прав в том, что может быть немного больно, если вы забудете что-то важное при переключении правил таблицы по умолчанию.
Проведя некоторое время с IPTables, вы, вероятно, найдете предпочтение и построите свои системы на основе этого в своей среде.
Может быть, еще кое-что в этой теме для тех, кому нужна эта информация, как и мне несколько часов назад.
Последний способ:
iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP
не позволяет вам добавить правило позже (поскольку добавленное правило появится после универсального правила удаления и, следовательно, не будет иметь никакого эффекта), вам придется вставить правило с явным указанием желаемой позиции:
iptables -I INPUT 1 --dport 8080 -j ACCEPT
вместо того
iptables -A INPUT --dport 80 -j ACCEPT
В зависимости от ваших потребностей это может немного помочь безопасности, требуя от вас или того, что позже добавит правило, чтобы действительно пройти через существующие правила, а не просто добавить его, как обычно.
Это знание я получил вчера, проверяя в течение двадцати минут, почему моя недавно установленная служба не отвечает, даже если все в порядке.
Политики по умолчанию довольно ограничены, но они служат хорошей защитой для обеспечения надлежащей обработки необработанных пакетов.
Если вам нужно (хотите) регистрировать эти пакеты, вам нужно последнее правило. Это может быть цепочка, которая регистрирует и применяет политику. Вы также можете просто войти в систему и позволить политике обработать это.
Рассмотрим эти подходы к политике и окончательное правило политики.