iptables, 진정한 개방성은 무엇일까?

Iptables는 첫 번째 규칙이 특정 프로그램을 충족해야 하는 pam 구성 파일과 다릅니다. iptables에서는 모든 규칙을 충족해야 합니다.

이것은 완전히 잘못된 것입니다. 규칙은 순서대로 순회되며, 일치하는 규칙이 기본 제공 대상( ACCEPT, DROP또는 QUEUE) 중 하나로 점프하면 패킷 처리가 종료됩니다. 더 이상 규칙이 순회되지 않습니다. "어디에도 ACCEPT가 없으면 아무것도 방화벽을 통과할 수 없습니다"라는 주장은 참이지만(DROP 정책 사용), 패킷이 참이 되기 위해 모든 ACCEPT 규칙과 일치할 필요는 없으며 하나만 도달하면 됩니다.

사용자 정의 체인으로 점프하거나(이 경우 체인의 규칙이 순서대로 시도됨) 전혀 점프하지 않고 단순히 존재한다는 이유로 차단되는 일부 규칙이 있을 수 있으므로 패킷은 여러 일치 규칙에 의해 처리될 수 있습니다. 다른 이유로(예: 로깅) 그러나 일단 도착하면 ACCEPT패킷 DROP이 전송되거나 삭제됩니다. QUEUE도착하면 패킷은 추가 처리를 위해 사용자 영역으로 전달되며 이 패킷에 대해 더 이상 규칙이 처리되지 않습니다. 마지막으로 처리가 내장 체인의 끝에 도달하는 경우에만 해당 체인의 정책이 적용됩니다.

예를 들어 iptables -L다음과 같이 표시된다고 가정해 보겠습니다.

Chain INPUT (policy DROP) target prot opt source
destination ACCEPT all -- anywhere anywhere

정책은 이므로 DROP특정 규칙에 의해 명시적으로 허용되는 패킷만 통과됩니다. 규칙것 같다모든 것을 허용하는 것과 같지만 반드시 그런 것은 아닙니다. iptables -L생략된 조건이 있을 수 있습니다. Run은 iptables -vL모든 조건을 인쇄합니다. 일반적으로 생략되는 조건은 인터페이스입니다. 모든 루프백 트래픽을 허용하는 규칙을 갖는 것이 일반적입니다. 당신은 다음과 같은 것을 보게 될 것입니다

# iptables -L INPUT 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
# iptables -vL INPUT
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            

규칙이 모든 트래픽을 허용하는 경우 보낸 사람 열에 any표시 됩니다 .iniptables -vL INPUT