我读了一个防火墙脚本,包括以下行
iptables -A pfc -p udp --dport 5060 -m recent --name badguy --update --seconds 60 -hitcount 600 -j DROP
iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set
这是默认防火墙脚本拒绝的一部分,而pfc是INPUT的用户定义子链。
这里有什么问题吗?第二行不会跳转到链条。除非第一行匹配,否则数据包的命运是什么?
我认为应该这样做
iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set **-j ACCEPT**
不是吗?
答案 0 :(得分:3)
如上所述,这条规则:
iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set
设置数据包的recent条目,然后继续处理可能决定明确拒绝或接受数据包的其他iptables规则。
另一方面,您建议的修改......
iptables -A pfc -p udp --dport 5060 -m recent --name badguy --set -j ACCEPT
...立即接受数据包,无需进一步处理。这是行为的重大差异,是否合适取决于您当地的情况。