zoukankan      html  css  js  c++  java
  • 7.iptables的黑白名单

    1.黑名单机制

    当链的默认策略为ACCEPT时,链中的规则对应的动作应该为DROP或者REJECT,表示只有匹配到规则的报文才会被拒绝,没有被规则匹配到的报文都会被默认接受,这就是黑名单机制。

    2.白名单机制

    当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到规则的报文才会被放行,没有被规则匹配到的报文都会被默认拒绝,这就是白名单机制。

    示例:白名单,只放行被匹配到的报文,其他的报文都被拒绝

    这样做的问题是:如果此时执行iptable -F操作,filter表中所有链中的所有规则都会被清空,而INPUT链的默认策略为DROP,所有的报文都会被拒绝。

    常用白名单替代方法:

    将链的默认策略保持为 ACCEPT;
    将放行规则放到INPUT链中的前面;
    将拒绝所有请求这条规则放在链的尾部。

    这样即使我们误操作iptabls -F,运维人员也能远程连接到主机上进行维护,因为默认策略还是ACCEPT。

    作者:ccku
    本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。如有问题或建议,请多多赐教,非常感谢。
  • 相关阅读:
    Javascript中eval解析的json的几种用法
    使用JSONlib简单的转换json操作
    Oracle12c导入scott测试用户(转)
    javascript中隐藏显示的样式表属性
    利用递归级联删除的代码
    递归(c++)(转)
    学习web开发遇到几个细节问题
    AJAX代码格式
    AJAX简介(转)
    算法训练 调和数列问题
  • 原文地址:https://www.cnblogs.com/ccku/p/13693232.html
Copyright © 2011-2022 走看看