Я ограничиваю трафик определенным номером порта, используя приведенное ниже правило брандмауэра.
/sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j DROP
Через какое-то время я хочу разрешить трафик, поэтому добавляю указанное ниже правило брандмауэра.
/sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j ACCEPT
Это правильно, или мне нужно удалить первое правило перед добавлением второго? если я не удалю первое правило, оба правила будут присутствовать в цепочке INPUT. так какой считается? Это в CentOS7, с нетерпением жду вашего совета.
Флаг -A
добавляется к набору правил. Использование -I
вставляет правило либо в начало цепочки, либо в пронумерованную позицию. Правила обрабатываются по порядку, поэтому первое добавленное правило будет обработано первым, а второе никогда не будет задействовано.
Вы можете просмотреть полный набор правил для вашей цепочки INPUT
с помощью iptables -nvL INPUT
.
Поскольку вы используете CentOS, возможно, вы захотите использовать его стандартный брандмауэр , firewalld
вместо низкого -уровня iptables
.
Также см.https://unix.stackexchange.com/a/191614/100397для объяснения правил, которые завершают цепочку, и тех, которые этого не делают.