iptables，默认策略与规则

与默认策略相比，丢弃不匹配的数据包与-j DROP最终有何区别？

喜欢：

iptables -P INPUT DROP
iptables -A INPUT --dport 80 -j ACCEPT

与

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

我之所以在意，是因为我无法使用日志创建链并将其作为默认策略，因此我需要使用第二个示例。

从技术角度来看，不可以。无论哪种方式，数据包都会被丢弃。

但是Sirex是非常正确的，如果在切换表默认规则时忘记了一些重要的内容，可能会有些痛苦。

在IPTables上花费了一些时间之后，您可能会发现一个首选项，并根据您的环境构建系统。

是。如果您使用DROP策略，然后通过SSH连接并刷新表（iptables -F），则您将自己锁定在外，因为未刷新默认策略。

我已经在远程系统上完成了此操作。好痛

（吸取的其他经验教训，如果您想service iptables stop暂时摆脱防火墙，请使用，而不要使用iptables-F + service iptables reload）

默认策略可能更安全，但更易于管理。您不能忘记将其添加到末尾。

就像几个小时前一样，对于那些需要这些信息的人来说，这个话题可能还有另一件事。

后一种方式：

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

不允许您以后追加规则（因为追加的规则将出现在通用放置规则之后，因此无效），因此您必须插入带有所需位置的显式语句的规则：

iptables -I INPUT 1 --dport 8080 -j ACCEPT

代替

iptables -A INPUT --dport 80 -j ACCEPT

根据您的需求，它可能会要求您或以后添加任何规则以真正通过现有规则，而不仅仅是像往常一样添加规则，从而对安全性有一点点帮助。

我昨天昨天在检查二十分钟为何即使一切就绪并运行后，新安装的服务仍无响应的情况下，我才知道这一点。

默认策略非常有限，但可以提供良好的支持，以确保以正确的方式处理未处理的数据包。

如果您需要（希望）记录这些数据包，则需要一条最终规则。这可以是记录和应用策略的链。您也可以只记录日志并让策略处理它。

考虑这些策略方法以及最终的策略规则。

• 使用并接受策略，并以所需的策略作为最终规则覆盖。当您在远程位置管理主机时，这可以为您提供保护。如果您放弃规则，则只剩下次要防线，例如hosts.allow。如果放弃最终规则，则最终将处于打开状态或完全打开状态。
• 设置所需的策略，并通过最终策略规则进行支持。当您对主机具有物理或控制台访问权限时，这可以更安全。如果您放弃规则，则除非该策略为ACCEPT，否则您将失去对所有服务的访问权限。如果您放弃最终规则，那么您仍然会受到保护。