next up previous contents
Next: 動作 Target Up: IPtables 防火牆 Previous: 內建鏈 chains   Contents

規則 Rules

  1. IPTables 分析進入主機的網路封包,針對封包的表頭資料 (Header) 進行過濾條件 rules 的設定,對連線封包進行「放行符合」與「封鎖不符合」或「丟棄不符合」的雙向安全管理機制。
  2. 規則是以列表的方式被加進每條規則鏈。
  3. 每個封包會從第一條規則開始檢查,依序至最後一條。
  4. 若封包符合其中一條規則,對應的動作就會被執行,例如接受 (ACCEPT) 或丟棄 (DROP)封包,且不再檢查後面的規則。
  5. 若封包通過所有檢查且不符合任何規則鏈內的任何一條規則,則執行該條規則鏈的預設動作,也就是預設政策。
  6. 預設政策可以設定為接受 (ACCEPT) 或丟棄 (DROP) 封包。
    1. 預設政策丟棄 (DROP) 所有封包:必須加入規則來接受 (ACCEPT) 來自信任 IP 位址的封包,或者開啟那些提供服務的連接埠,如:FTP 伺服器、網頁伺服器、mail 伺服器等。一般用於 INPUT 規則鏈。
    2. 預設政策接受 (ACCEPT) 所有封包:必須加入規則來攔截 (DROP) 來自有問題 IP 位址或系列的封包,也或者阻止封包進出只作私人用途或未提供服務的連接埠。一般用於 OUTPUT 規則鏈。



2018-04-25