skill——iptables（六）

相关动做

REJECT
LOG
SNAT
DNAT
MASQUERADE
REDIRECT
详情请仔细阅读此博主文章

iptables 小结

1. 规则的顺序很是重要
由于链中规则的顺序是自上而下的，当报文已经被前面的规则匹配到，iptables 会执行对应的动做，然后面即便有能够匹配到刚才已经执行过相应的动做的报文，也不会再执行相应的动做了（第一次匹配到规则的动做为 LOG 除外），因此，针对相同的服务规则，更严格的规则应该放在前面
2.当规则中有多个匹配条件时，条件之间默认存在 "与" 的关系，即必须知足规则中的全部条件，才会执行规则的相应动做
3. 在没有顺序要求的状况下，不一样类别的规则，被匹配次数多的、频率高的规则应该放在前面
好比：没有特殊要求外，有两条规则，sshd、web；一天之中，有 20000 个请求访问 web 服务，200 个请求访问 sshd 服务，那么应该把 web 的规则放在前面，减小资源的浪费；否则 sshd 放在前面也会被验证与 web 访问量一样的次数
4. 当 iptables 所在知己做为网络防火墙时，在配置规则时，应该着重考虑其方向性，双向性，由内到外，由外到内
5. 在配置 iptables 白名单时，每每会将链的默认策略设置为 ACCEPT，经过在链的最后设置 REJECT 规则来实现白名单机制，而不是将默认策略改成 DROP，这样能够避免误操做管理员本身把本身关在门外