希望有人能帮我解决这个问题。我在 RHEL7.1 上,我注意到在 iptables 中我有一条允许任何传入的规则。我运行此命令来获取行号和接口,只是为了确保:
iptables --line-numbers -L -v --verbose
这是输出。(仅第一行)
1 30M 2931M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
这是来自输入链。下面是输入链的最后一行:
42 243K 22M DROP all -- any any anywhere anywhere
现在,我在输入链中间也有许多规则。但我不明白为什么我甚至需要这些规则,因为最顶部有“any any”规则。这是否违背了运行 iptables 的目的?我的防火墙配置是否错误?
答案1
第一条规则只接受 RELATED 和 ESTABLISHED 连接,不接受 NEW 连接。您之所以有这条规则,可能是因为您要阻止所有内容,只允许部分服务,如 HTTP、DNS 等。最后,与任何先前规则不匹配的所有内容都将被丢弃。