2

次の行を含むファイアウォールスクリプトを読みました

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --update --seconds 60 -hitcount 600 -j DROP 

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set

これはデフォルトのファイアウォール スクリプトによる拒否の一部であり、pfc は INPUT のユーザー定義のサブチェーンです。

何かおかしくないですか?2 行目はチェーンにジャンプしません。最初の行が一致しない限り、パケットの運命はどうなりますか?

やるべきだと思う

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set **-j ACCEPT**

そうじゃない?

4

1 に答える 1

3

書かれているように、このルール:

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set

recentパケットのエントリを設定し、パケットiptablesを明示的に拒否または受け入れることを決定する可能性のある追加のルールの処理を続行します。

一方、あなたの提案された修正は...

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set -j ACCEPT

...それ以上の処理なしで、すぐにパケットを受け入れます。これは動作の実質的な違いであり、それが適切かどうかは、完全にローカルの状況に依存します。

于 2012-05-15T13:45:05.060 に答える