zoukankan      html  css  js  c++  java
  • 7.iptables的黑白名单

    1.黑名单机制

    当链的默认策略为ACCEPT时,链中的规则对应的动作应该为DROP或者REJECT,表示只有匹配到规则的报文才会被拒绝,没有被规则匹配到的报文都会被默认接受,这就是黑名单机制。

    2.白名单机制

    当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到规则的报文才会被放行,没有被规则匹配到的报文都会被默认拒绝,这就是白名单机制。

    示例:白名单,只放行被匹配到的报文,其他的报文都被拒绝

    这样做的问题是:如果此时执行iptable -F操作,filter表中所有链中的所有规则都会被清空,而INPUT链的默认策略为DROP,所有的报文都会被拒绝。

    常用白名单替代方法:

    将链的默认策略保持为 ACCEPT;
    将放行规则放到INPUT链中的前面;
    将拒绝所有请求这条规则放在链的尾部。

    这样即使我们误操作iptabls -F,运维人员也能远程连接到主机上进行维护,因为默认策略还是ACCEPT。

    作者:ccku
    本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。如有问题或建议,请多多赐教,非常感谢。
  • 相关阅读:
    鼠标事件:
    各种坑记录
    Go学习笔记
    Scala学习笔记-7-代码片段
    Go学习笔记
    NIO学习笔记
    Redis常用操作
    docker & k8s 笔记
    Node常用笔记
    Maven常用笔记
  • 原文地址:https://www.cnblogs.com/ccku/p/13693232.html
Copyright © 2011-2022 走看看