![정책 변경 후 iptables -L 출력](https://linux55.com/image/210513/%EC%A0%95%EC%B1%85%20%EB%B3%80%EA%B2%BD%20%ED%9B%84%20iptables%20-L%20%EC%B6%9C%EB%A0%A5.png)
INPUT에 대한 기본 정책을 변경하면 iptables -L의 출력이 세 번째 줄 이후에 중지됩니다. SSH와 로컬을 통해 확인했습니다. 내 터미널의 출력(예, 루트를 사용해서는 안 된다는 것을 알고 있습니다).
root@pi4:/# iptables -L -v
Chain INPUT (policy ACCEPT 73 packets, 16085 bytes)
pkts bytes target prot opt in out source destination
261 18964 ACCEPT tcp -- any any 192.168.0.0/16 anywhere tcp dpt:60022
94 7786 ACCEPT all -- lo any anywhere anywhere
0 0 ACCEPT tcp -- any any 192.168.0.0/16 anywhere tcp dpt:netbios-ssn
0 0 ACCEPT tcp -- any any 192.168.0.0/16 anywhere tcp dpt:microsoft-ds
0 0 ACCEPT udp -- any any 192.168.0.0/16 anywhere udp dpt:netbios-ns
4 962 ACCEPT udp -- any any 192.168.0.0/16 anywhere udp dpt:netbios-dgm
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
root@pi4:/# iptables -P INPUT DROP
root@pi4:/# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
^C
root@pi4:/#
답변1
DNS 조회 속도가 느려집니다. 이제 새 규칙 세트는 DNS 응답 수신을 방지하므로 각 행에 대해 시간 초과에 도달하기까지 일정 기간이 있습니다.
항상 사용해야합니다-n
DNS 조회를 방지하기 위한 매개변수입니다. 실제로 -v
출력을 이해하는 데에도 사용해야 합니다. 솔직히 말해서, iptables -L
질문에서 요구되는 내용을 재현하기 어렵게 만들기 때문에 특히 스택 교환에서는 거의 사용해서는 안 됩니다. 이것이 유용한 유일한 경우는 특정 일치 또는 대상이 출력에 추가 상태 정보를 표시하는 경우입니다.
다음 중 하나를 선호해야 합니다.
iptables -S
단일 테이블 또는 체인의 경우(제공된 경우)iptables-save -c
패킷 수가 포함된 전체 규칙 세트의 경우(규칙이 일치하지 않는지 확인하는 데 도움이 됨)
그럼에도 불구하고 DNS 응답을 포함하여 응답 트래픽 수신을 허용하는 상태 저장 규칙을 추가해야 합니다.
iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT