我想阻止指定 IP 的 SSH 访问xx.yy.zz.ww。-p交换机可以匹配所有 TCP 流量,所以我觉得没有必要-m再次匹配 tcp 协议。
iptables -A INPUT -p tcp -m tcp --dport 22 -s xx.yy.zz.ww -j DROP
iptables -A INPUT -p tcp --dport 22 -s xx.yy.zz.ww -j DROP
上面两个iptables命令效果一样吗?
答案1
man iptables说:
iptables 可以使用扩展的数据包匹配模块。这些模块以两种方式加载:隐式加载,当-p或者- 协议已指定,或者-m或者- 匹配选项,后跟匹配的模块名称;此后,根据具体模块的不同,会有各种额外的命令行选项可用。
因此,-p tcp确实意味着-m tcp。此外
-p icmp暗示-m icmp-p udp暗示-m udp
没有自动加载其他匹配的模块。