scrapy

Asked: 2019-09-04 00:07:09 +0800 CST2019-09-04 00:07:09 +0800 CST 2019-09-04 00:07:09 +0800 CST

我可以在 iptables 命令中省略 -m 开关吗？

772

我想阻止指定 IP 的 SSH 访问xx.yy.zz.ww。-pswitch 可以匹配所有的 TCP 流量，所以我觉得没有必要-m再次匹配 tcp 协议。

iptables -A INPUT -p tcp -m tcp --dport 22 -s xx.yy.zz.ww -j DROP  
iptables -A INPUT -p tcp  --dport 22 -s xx.yy.zz.ww -j DROP

上面两个iptables命令效果一样吗？

1 个回答

Voted

Best Answer

Daniel B
2019-09-04T00:42:36+08:002019-09-04T00:42:36+08:00
man iptables说：

iptables 可以使用扩展的数据包匹配模块。它们以两种方式加载：隐式地，当指定 -p或--protocol时，或使用-m或--match选项，后跟匹配的模块名称；在这些之后，各种额外的命令行选项变得可用，具体取决于特定模块。

因此，-p tcp确实暗示-m tcp. 此外

-p icmp暗示-m icmp

-p udp暗示-m udp

不会自动加载其他匹配的模块。
2

Web Analytics