摘要:
为什么要自定义链? 当默认链中的规则越来越多时,比如INPUT链中100条规则,里面有针对内网的,有针对外网访问的,有针对nginx服务的,有针对sshd服务的;此时,有一个需求,要修改nginx服务的相关规则,这就需要从到到尾在这100条规则内找出哪些是nginx的,这显然十分浪费时间,也不便于运 阅读全文
摘要:
1.黑名单机制 当链的默认策略为ACCEPT时,链中的规则对应的动作应该为DROP或者REJECT,表示只有匹配到规则的报文才会被拒绝,没有被规则匹配到的报文都会被默认接受,这就是黑名单机制。 2.白名单机制 当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到规则的报 阅读全文
摘要:
--tcp-flags模块 **--tcp-flags**选项指的是tcp头部的标识位,可以通过此扩展匹配条件,去匹配tcp报文的头部的标识位,然后根据标识位的实际情况实现访问控制的功能。 在TCP协议建立连接的过程中,需要先进行三次握手,而三次握手就要依靠TCP头中的标识位进行。 如果想要匹配“第 阅读全文