В Redhat EL 6 политика iptables INPUT ACCEPT но цепочка INPUT имеет запись REJECT в конце. /etc/syconfig/iptables как показано ниже:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Знаете ли вы, почему политика ACCEPT не DROP? Я думаю, что установка политики DROP безопаснее, чем ACCEPT на случай ошибки в цепочке. На самом деле политика не применяется ни к одному пакету:

# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
|источник

2 ответа2

0

Политики влияют на то, что происходит, когда трафик не "пойман" каким-либо другим правилом.

Политика DROP - хорошая идея, если вы укрепляете свой сервер. Вероятно, по умолчанию это не так, потому что администраторы дистрибутива не могут заранее знать, как вы будете использовать систему или какие сервисы будут в ней активны.

|источник
0

Поскольку последнее правило в цепочке соответствует всем пакетам, политика по умолчанию никогда не используется. Использование правила перехвата всех для отклонения оставшегося трафика позволяет выбрать метод отклонения, а также более очевидно при просмотре вывода iptables -nvL . Вы можете изменить его на REJECT или DROP, если хотите, но это не изменит поведение.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .