如果我没记错的话,是从上到下的吗?最后的包罗万象的默认操作是丢弃任何不符合上述规则的数据包。如果是这种情况,我是否应该记录丢弃的数据包以及最后一条规则?
答案1
如果我没记错的话,是从上到下的吗?
是,对的
最后的包罗万象的默认操作是仅丢弃与上述规则不匹配的任何数据包?
有可能,但不要指望它。给定链的默认操作由该链的策略确定。
您可以通过以下方式查看当前政策
[sudo] iptables -S
你会看到类似的东西(在这种情况下,输入链的策略= drop)
-P INPUT DROP
您可以设置策略(如果当前有所不同)
[sudo] iptables -P INPUT DROP
如果是这种情况,我是否应该记录丢弃的数据包以及最后一条规则?
由你决定。很多人都这样做,就制定这样的规则
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
并将其放置在规则集的底部 - 因此在数据包被DROP链策略编辑之前,它是最后一个匹配数据包的东西。默认情况下,日志消息将发送到与内核相同的日志文件,但rsyslog允许您为防火墙日志定义自己的自定义文件