我使用以下防火墙规则将流量限制到特定端口号。
/sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j DROP
一段时间后,我想允许流量,因此添加以下防火墙规则。
/sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j ACCEPT
它是否正确,或者我必须在添加第二条规则之前删除第一条规则。如果我不删除第一条规则,则两条规则都存在于 INPUT 链中。那么考虑哪一个呢?这是在 CentOS7 中,期待您的建议。
答案1
该-A标志附加到规则集。使用-I在链的开头或编号位置插入规则。规则按顺序处理,因此您添加的第一条规则将首先处理,第二条规则将永远不会被执行。
INPUT您可以使用 来查看您的链的全套规则iptables -nvL INPUT。
由于您使用的是 CentOS,您可能想使用其标准防火墙工具,firewalld而不是低级的iptables.
另请参阅iptables 和 RETURN 目标了解终止链和不终止链的规则的解释。