7.iptables的黑白名单
1.黑名单机制
当链的默认策略为ACCEPT时,链中的规则对应的动作应该为DROP或者REJECT,表示只有匹配到规则的报文才会被拒绝,没有被规则匹配到的报文都会被默认接受,这就是黑名单机制。
2.白名单机制
当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到规则的报文才会被放行,没有被规则匹配到的报文都会被默认拒绝,这就是白名单机制。
示例:白名单,只放行被匹配到的报文,其他的报文都被拒绝
这样做的问题是:如果此时执行iptable -F
操作,filter表中所有链中的所有规则都会被清空,而INPUT链的默认策略为DROP,所有的报文都会被拒绝。
常用白名单替代方法:
将链的默认策略保持为 ACCEPT;
将放行规则放到INPUT链中的前面;
将拒绝所有请求这条规则放在链的尾部。
这样即使我们误操作iptabls -F
,运维人员也能远程连接到主机上进行维护,因为默认策略还是ACCEPT。
作者:ccku
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。如有问题或建议,请多多赐教,非常感谢。