有人可以向我解释一下它为什么有效:
administrador@ubuntu:~$ sudo iptables -L 输入 链输入(策略接受) 目标 保护 优化 源 目标 接受 tcp -- 任何地方 任何地方 tcp dpt:www 状态 新建,已建立 拒绝所有 - 任何地方任何地方拒绝 - icmp 端口不可达
但这不行:
administrador@ubuntu:~$ sudo iptables -L 输入 目标 保护 优化 源 目标 接受 tcp -- 任何地方 任何地方 tcp dpt:www 拒绝所有 - 任何地方任何地方拒绝 - icmp 端口不可达
我宁愿说第二条规则更受限制。防火墙必须检查每个数据包的状态,那么为什么当我想检查 Web 服务器可用性时,第二个选项不起作用?我的意思是机器无法连接到服务器。
答案1
前者规则使用连接跟踪,后者不使用。回复数据包需要连接跟踪条目才能通过。当连接跟踪系统允许建立连接或逻辑关联的数据包进入时,会创建一个自动的临时反射规则以允许回复数据包出去。