iptables动作DROP_ACCEPT_REJECT.docVIP

iptables动作---------DROP、ACCEPT、REJECT ◆ACCEPT 一旦包满足了指定的匹配条件，就会被ACCEPT，并且不会再去匹配当前链中的其他规则或同一个表内的其他规则，但它还要通过其他表中的链 ◆DROP 如果包符合条件，这个target就会把它丢掉，也就是说包的生命到此结束，不会再向前走一步，效果就是包被阻塞了。在某些情况下，这个target会引起意外的结果，因为它不会向发送者返回任何信息，也不会向路由器返回信息，这就可能会使连接的另一方的sockets因苦等回音而亡:) 解决这个问题的较好的办法是使用REJECT target，（注：因为它在丢弃包的同时还会向发送者返回一个错误信息，这样另一方就能正常结束），尤其是在阻止端口扫描工具获得更多的信息时，可以隐蔽被过滤掉的端口等等（译者注：因为扫描工具扫描一个端口时，如果没有返回信息，一般会认为端口未打开或被防火墙等设备过滤掉了）。还要注意如果包在子链中被DROP了，那么它在主链里也不会再继续前进，不管是在当前的表还是在其他表里。 ◆REJECT REJECT和DROP基本一样，区别在于它除了阻塞包之外，还向发送者返回错误信息。现在，此target还只能用在INPUT、FORWARD、OUTPUT和它们的子链里，而且包含 REJECT的链也只能被它们调用，否则不能发挥作用。它只有一个选项，是用来控制返回的错误信息的种类的。 参考资料 /network/iptables-tutorial-cn-1.1.19.html#TARGETS 实验： filter表中INPUT链为DROP，OUTPUT链为ACCEPT，nat表中链全部为ACCEPT 添加规则： 1.DROP与REJECT区别 只添加：iptables -A INPUT –I eth0 -d 26 -p icmp -j DROP 只添加：iptables -A INPUT –I eth0 -d 26 -p icmp -j REJECT 添加：iptables -A INPUT –I eth0 -d 26 -p icmp -j ACCEPT iptables -A INPUT –I eth0 -d 26 -p icmp -j DROP 2.ACCEPT、DROP、REJECT顺序关系 添加：iptables -A INPUT –I eth0 -d 26 -p icmp -j ACCEPT iptables -A INPUT –I eth0 -d 26 -p icmp -j DROP 说明数据包一旦被ACCEPT那么就不会再去匹配其他规则 添加：iptables -A INPUT –I eth0 -d 26 -p icmp -j DROP iptables -A INPUT –I eth0 -d 26 -p icmp -j REJECT 添加：iptables -A INPUT –I eth0 -d 26 -p icmp -j REJECT iptables -A INPUT –I eth0 -d 26 -p icmp -j DROP 或者iptables -A INPUT –I eth0 -d 26 -p icmp -j REJECT iptables -A INPUT –I eth0 -d 26 -p icmp -j ACCEPT 说明数据包一旦被DROP或者REJECT那么该数据包就会被丢弃，不会继续前进 PC2 Ip：0 网关：26 PC1 Ip：7 网关：26 防火墙 eth0：26 eth1：26 防火墙为PC2主机上的LINUX虚拟机