次のファイアウォールルールを使用して、トラフィックを特定のポート番号に制限します。
/sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j DROP
しばらくしてトラフィックを許可したいので、次のファイアウォールルールを追加してください。
/sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j ACCEPT
それは正しいですか?それとも、2番目のルールを追加する前に最初のルールを削除する必要がありますか?最初のルールを削除しないと、両方のルールがINPUTチェーンに存在します。それでは、どちらを考慮する必要がありますか?これはCentOS7にあり、あなたの提案を待っています。
答え1
この-A
フラグはルールセットに添付されます。-I
チェーンの開始位置または番号付き位置に挿入規則を使用してください。ルールは順番に処理されるため、追加した最初のルールは最初に処理され、2番目のルールは実行されません。
INPUT
を使用してチェーンの完全なルールセットを表示できますiptables -nvL INPUT
。
CentOSを使用しているので、CentOSの標準を使用することをお勧めします。ファイアウォールツール、firewalld
低レベルではないiptables
。
また見てくださいiptablesとRETURNターゲットチェーンのシャットダウンと終了しないルールの説明を理解します。