编辑1

2024-6-20 • tag-icon

所以我有这些 iptables 规则

sudo iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2    ACCEPT     all  --  192.168.8.129         0.0.0.0/0            
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set k8s-nodes src
4    ACCEPT     all  --  192.168.21.5        0.0.0.0/0            
5    ACCEPT     all  --  10.53.5.52         0.0.0.0/0            
6    ACCEPT     all  --  13.xx.xx.xx         0.0.0.0/0           
7    ACCEPT     all  --  147.xx.xx.xx         0.0.0.0/0            
8    ACCEPT     all  --  147.xx.xx.xx/28    0.0.0.0/0            
9    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
10   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
11   ACCEPT     all  --  136.xx.xx.xx       0.0.0.0/0            
12   ACCEPT     all  --  10.67.0.13           0.0.0.0/0

这些规则正在做我们想要的事情，但是我很困惑为什么规则 10 不允许一切......因为它“接受任何到任何”，但是当从其他规则中未列出的源 IP 进行检查时，无法访问。我认为这与设置 INPUT 链有关，drop但我不确定。有人可以解释一下吗？谢谢

编辑1

按照评论中的要求。

iptables -nv -L --line-numbers
[...]
10     94M 7780M ACCEPT   all  --  lo   *    0.0.0.0/0         0.0.0.0/0

答案1

如果您iptables -n -L此时运行，您将无法获得所有相关信息。

iptables -nv -L显示规则匹配的数据包数量（这将表明某个规则匹配所有内容，因为之后的所有规则的计数器都为零）以及输入或输出接口、端口号等附加条件。

在您的情况下，看似包罗万象的规则仅限于本地流量。这是一个典型的配置。

编辑1

答案1

相关内容