7.iptables的黑白名单

1.黑名单机制

当链的默认策略为ACCEPT时，链中的规则对应的动作应该为DROP或者REJECT，表示只有匹配到规则的报文才会被拒绝，没有被规则匹配到的报文都会被默认接受，这就是黑名单机制。

2.白名单机制

当链的默认策略为DROP时，链中的规则对应的动作应该为ACCEPT，表示只有匹配到规则的报文才会被放行，没有被规则匹配到的报文都会被默认拒绝，这就是白名单机制。

示例：白名单，只放行被匹配到的报文，其他的报文都被拒绝

这样做的问题是：如果此时执行iptable -F操作，filter表中所有链中的所有规则都会被清空，而INPUT链的默认策略为DROP，所有的报文都会被拒绝。

常用白名单替代方法：

将链的默认策略保持为 ACCEPT；
将放行规则放到INPUT链中的前面；
将拒绝所有请求这条规则放在链的尾部。

这样即使我们误操作iptabls -F，运维人员也能远程连接到主机上进行维护，因为默认策略还是ACCEPT。