INPUTのデフォルトポリシーを変更すると、iptables -Lの出力は3行目以降に停止します。 SSHとローカルで確認しました。私の端末の出力(たとえば、ルートを使用してはいけないことを知っています)。
root@pi4:/# iptables -L -v
Chain INPUT (policy ACCEPT 73 packets, 16085 bytes)
pkts bytes target prot opt in out source destination
261 18964 ACCEPT tcp -- any any 192.168.0.0/16 anywhere tcp dpt:60022
94 7786 ACCEPT all -- lo any anywhere anywhere
0 0 ACCEPT tcp -- any any 192.168.0.0/16 anywhere tcp dpt:netbios-ssn
0 0 ACCEPT tcp -- any any 192.168.0.0/16 anywhere tcp dpt:microsoft-ds
0 0 ACCEPT udp -- any any 192.168.0.0/16 anywhere udp dpt:netbios-ns
4 962 ACCEPT udp -- any any 192.168.0.0/16 anywhere udp dpt:netbios-dgm
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
root@pi4:/# iptables -P INPUT DROP
root@pi4:/# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
^C
root@pi4:/#
答え1
DNSルックアップが遅くなります。新しいルールセットはDNS応答の受信を防ぎ、各行のタイムアウトに達するまで一定の期間があります。
常に使用してください-nDNS ルックアップを防ぐためのパラメータです。実際に-v出力を理解するためにも使用する必要があります。正直なところ、iptables -L質問で必要な内容を再現するのは難しいので、特にスタック交換ではほとんど使用しないでください。これが有用な唯一のケースは、特定の一致またはターゲットが出力に追加のステータス情報を表示する場合です。
次のいずれかを優先する必要があります。
iptables -S単一テーブルまたはチェーンの場合(提供されている場合)iptables-save -cパケット数を含むルールセット全体の場合(ルールが一致しないことを確認するのに役立ちます)
それにもかかわらず、DNS応答を含む応答トラフィックの受信を許可するステートフルルールを追加する必要があります。
iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT