drop proto tcp and not (dst port 80)
pass proto tcp and dst port 80
它们之间有区别吗?
答案1
嗯,区别很简单。
- 第一条规则立即删除非 HTTP
- 第二条规则立即允许 HTTP
尽管这可能会欺骗你,但这些还远远不够。因为:
服务器上有几种类型的流量,第一条规则只是禁止它。
同时才不是允许 HTTP:是否允许 HTTP 由后续规则决定,或连锁政策。
另一方面,第二条规则明确允许 HTTP 并且不会篡改其他所有内容。
在极少数情况下,你需要像第一个这样的规则,所以除非你绝对确定,否则请坚持第二个规则为什么你需要第一个。