linux – iptables：更改策略还是使用catch-all规则？

概述设置iptables时你做了什么：更改默认策略(例如iptables -P INPUT DROP)或在规则集末尾添加一个包含所有规则(iptables -A INPUT DROP)？如果您确实更喜欢一个,那么您的偏好背后的理由是什么？ 对于这个论坛来说,这可能是一个太主观的问题,但也许有一些很好的理由来选择一个我不知道的. 我采取的策略方式是,由于过于乐观的iptables -F,将自己锁定在服务 设置iptables时你做了什么：更改默认策略(例如iptables -P input DROP)或在规则集末尾添加一个包含所有规则(iptables -A input DROP)？如果您确实更喜欢一个,那么您的偏好背后的理由是什么？

对于这个论坛来说,这可能是一个太主观的问题,但也许有一些很好的理由来选择一个我不知道的.

我采取的策略方式是,由于过于乐观的iptables -F,将自己锁定在服务器之外可能更容易.对于它我可以更容易删除catch-all规则而不注意它,有效地使服务器保持开放状态(过去我曾经遇到过这种情况).

确实,您不应该依赖防火墙作为您对互联网的唯一保护(例如,大多数情况下您可以使内部网络服务仅绑定到本地网络或内部网络),但有时会被迫暴露半特定来源网络的公共服务等

就个人而言,如果从头开始编写规则集,我倾向于选择第一个,但如果更新现有规则集,则坚持使用已经存在的规则集.

解决方法 我同时使用两者,设置策略和最终删除规则,因为我是那样的硬核.

我在我调用和更新的脚本中定义了我的规则.我从不直接直接调用iptables,然后偶尔列出规则/统计数据.我从来没有真正看到为什么一个比另一个更好的原因.

总结

以上是内存溢出为你收集整理的linux – iptables：更改策略还是使用catch-all规则？全部内容，希望文章能够帮你解决linux – iptables：更改策略还是使用catch-all规则？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。