“所有符合默认规则的数据包都应被丢弃”是否意味着我的 iptables 规则应该从一开始就丢弃所有内容,就像这样?
# Set the default policy to drop
$IPT --policy INPUT DROP
$IPT --policy OUTPUT DROP
$IPT --policy FORWARD DROP
或者有其他含义?
答案1
是的,这就是它的意思(并且没有其他含义)。
显然,这是一项政策,您可以根据自己的需要和预期目标来设置自己的政策。使用 nmap 扫描端口时,DROP 政策将显示为“已过滤”,而 REJECT 政策将显示“已关闭”---这是因为 REJECT 会发回 ICMP 不可达消息,让连接人员知道该端口上没有服务正在监听(“连接被拒绝”是典型的用户消息)。
答案2
这意味着如果你的配置中没有明确允许数据包通过的规则,那么它应该被丢弃。基本上是“除非我明确允许,否则拒绝一切”。
虽然我不是 IPTables 专家,但基本上你可以配置 IP 表以仅允许需要通过的内容通过,并丢弃其余内容。