最初に「削除」してから「承認」ルールを追加すると、どのファイアウォールルールが考慮されます。あきらめるか、受け入れるか?

最初に「削除」してから「承認」ルールを追加すると、どのファイアウォールルールが考慮されます。あきらめるか、受け入れるか?

次のファイアウォールルールを使用して、トラフィックを特定のポート番号に制限します。

   /sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j DROP

しばらくしてトラフィックを許可したいので、次のファイアウォールルールを追加してください。

   /sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j ACCEPT

それは正しいですか?それとも、2番目のルールを追加する前に最初のルールを削除する必要がありますか?最初のルールを削除しないと、両方のルールがINPUTチェーンに存在します。それでは、どちらを考慮する必要がありますか?これはCentOS7にあり、あなたの提案を待っています。

答え1

この-Aフラグはルールセットに添付されます。-Iチェーンの開始位置または番号付き位置に挿入規則を使用してください。ルールは順番に処理されるため、追加した最初のルールは最初に処理され、2番目のルールは実行されません。

INPUTを使用してチェーンの完全なルールセットを表示できますiptables -nvL INPUT

CentOSを使用しているので、CentOSの標準を使用することをお勧めします。ファイアウォールツールfirewalld低レベルではないiptables

また見てくださいiptablesとRETURNターゲットチェーンのシャットダウンと終了しないルールの説明を理解します。

関連情報