假设我有一条引入了 的链iptables -N SERVICES-VPN
。
但我希望这条链子能放下一切……所以iptables -A SERVICES-VPN -j DROP
。
这里的问题是我可能需要稍后添加规则才能被接受。每次我需要添加它们时,我都必须手动删除删除规则(按行号烦人,对吧?),然后引入新规则来接受该服务,然后再次重新引入删除规则iptables -A SERVICES-VPN -j DROP
。
这甚至可以被视为一个安全漏洞,僵尸网络可能会等待我通过删除 DROP 规则来打开所有端口来执行某些操作,而最后一道防线,即防火墙,是保护相关机器的。
对于策略来说,这个问题不存在,类似的策略iptables -P INPUT DROP
仍然允许我添加新规则,如果不存在规则,它会断开连接。使用链条实现这一目标的最佳方法是什么?