
달리면 iptables -L -n
다음 정보가 제공됩니다.
Chain IN_ZONE_work_allow (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate NEW
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ctstate NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 ctstate NEW
허용되는 udp 0.0.0.0/0 dest 224.0.0.251은 무엇입니까?
답변1
즉, 멀티캐스트 DNS 패킷(dpt = 대상 포트, 5353 = 멀티캐스트 DNS)을 수신할 수 있으며 udp는 프로토콜이고 224.0.0.251은 대상입니다.멀티캐스트 주소, 0.0.0.0/0은 어디서나를 의미합니다. ctstate new
연결이 새로운 경우를 의미합니다("새롭지 않음"과 관련된 패킷, 즉 이미 설정된 연결은 보다 일반적인 규칙을 통해 허용됩니다).
모르신다면, 낮은 수준에서는 네트워크의 모든 컴퓨터가 다른 컴퓨터에서 보낸 모든 패킷을 수신한 다음 각각 자체적으로 분류합니다.
답변2
귀하가 요청하는 규칙은 일반적으로 Linux의 avahi 데몬이 mDNS 쿼리를 수신하는 데 사용됩니다.
이 iptables 규칙은 멀티캐스트 주소 224.0.0.251로 향하는 포트 5353에서 들어오는 UDP 패킷을 허용합니다. IANA는 멀티캐스트 주소의 사용을 정의합니다.여기, mDNS RFC는여기.
iptables -L -n
INPUT 체인의 원래 일치 항목은 소스, 이러한 패킷을 허용하는 인터페이스 및 기타 다양한 속성을 기반으로 더 자세한 패킷 일치 항목을 가질 수 있으므로 표시된 출력 은 완전한 그림이 아닙니다. INPUT 체인의 초기 일치는 "IN_ZONE_work_allow" 체인의 후속 규칙에 도달하기 전에 다른 체인으로 이동할 수도 있습니다. 이 규칙을 트리거하기 위해 존재해야 하는 모든 패킷 속성을 더 잘 이해하려면 열에 IN_ZONE_work_allow
표시되는 첫 번째 패킷 속성이 나타날 때까지 체인에서 거꾸로 작업 target
하고 INPUT에서 첫 번째 패킷 속성을 찾을 때까지 이 방식을 계속해야 합니다. 점프(실제로 전달 규칙 세트가 아니라고 가정). 귀하의 경우, 체인 이름 뒤에 "1 reference"라는 주석이 표시된 것처럼 체인이 INPUT에서 직접 점프할 가능성이 높습니다. iptables-save
그러한 출력이 있는지 확인하기 위해 상자를 살펴보는 것이 더 간단 하다고 생각합니다 .
답변3
TCP/IP 네트워크에서 IP 주소로 0.0.0.0은 "어디서나" 또는 "어디서나"를 의미합니다. 커널 내부 형식(위에 반영된 내용)은 이를 사용하며 이를 설정하는 명령은 소스를 제공하지 않을 수도 있습니다.