据我了解,iptables 可能会忘记数据包状态?是这样吗?如果是,我是否必须添加额外的无状态规则?
例如,我有这些规则。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT
我必须添加以下规则吗?
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
还是我完全误解了一切?
提前致谢。
答案1
是的,这些规则确保 DNS 查询和响应始终通过防火墙。
但是,这些规则使防火墙更加开放,因为从外部端口 53 发送的任何 UDP 数据包都可以到达防火墙后面的任何 UDP 端口。