我在我的 Linux 上收到了来自域的 tcpdump,例如:静冈县到端口 2895 UDP,长度为 0
在解析此域名时,我得到的 IP 地址为12.12.136.158。
我将其插入到 iptables 中以删除此域请求,如下所示。
我有一条 iptables 规则
DROP all -- 12.12.136.158 0.0.0.0/0
尽管添加了此规则,但 iptables 仍无法删除来自该域的请求
编辑:包括所有规则
1 0 0 ACCEPT all -- * * 45.117.26.115 0.0.0.0/0
2 199K 32M ACCEPT all -- * * 106.193.0.0/16 0.0.0.0/0
3 0 0 DROP all -- * * 202.231.72.67 0.0.0.0/0
4 0 0 DROP all -- * * 12.12.136.158 0.0.0.0/0
5 0 0 DROP all -- * * 8.4.0.0/24 0.0.0.0/0
6 0 0 DROP all -- * * 180.33.0.0/24 0.0.0.0/0
7 0 0 DROP all -- * * 202.231.0.0/16 0.0.0.0/0
答案1
该规则可能是正确的,但放置位置可能不正确。
需要记住的是,防火墙规则是按照列出的顺序进行检查的。当触发允许或禁止数据包或连接的规则时,内核将停止处理链。
请使用[sudo] iptables-save或[sudo] iptables -L -v -n --line-numbers转储您的完整配置。
我认为新手防火墙管理员最常犯的错误是他们按照正确的说明添加额外的规则,然后发现它不会生效。
原因是该-A选项附加了新规则,在所有现有规则之后并且在新规则触发之前很久就已经做出了允许(禁止)流量的最终决定。