我正在尝试学习iptables并尝试使用它。
我读到它会按顺序处理规则,那么这是否意味着如果我像下面的示例一样“删除”所有内容,它将:
- “忽略”初始示例之后的每个规则/链
或 - 处理并处理整个文件
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
...
Other chains
如果 1. 是正确的,我是否需要将其包含在文件末尾才能使其成为“拒绝全部”?
答案1
-P设置链的默认策略,因此何时以及如何指定它并不重要。它可能是第一个iptables命令,也可能是最后一个命令。如果您有数千条规则,那么首先运行命令是有意义的,-P因为在加载所有规则期间 iptables 将允许一切。
如果您正在使用该iptables-restore命令,那么您绝对必须首先使用它,因为如果您的规则有错误,iptables 将退出并让您的主机保持开放状态。