2

我阅读了一个防火墙脚本,包括以下几行

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --update --seconds 60 -hitcount 600 -j DROP 

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set

这是默认情况下拒绝防火墙脚本的一部分,pfc 是用户定义的 INPUT 子链。

这里不是有什么问题吗?第二行不会跳到链上。除非第一行匹配,否则数据包的命运是什么?

我认为应该这样做

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set **-j ACCEPT**

不是吗?

4

1 回答 1

3

正如所写,这条规则:

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set

设置recent数据包的条目,然后继续处理iptables可能决定明确拒绝或接受数据包的其他规则。

另一方面,您建议的修改...

iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set -j ACCEPT

...立即接受数据包,无需进一步处理。这是行为上的巨大差异,是否合适完全取决于您当地的情况。

于 2012-05-15T13:45:05.060 回答