drop proto tcp and not (dst port 80)
pass proto tcp and dst port 80
それらの間に違いはありますか?
答え1
まあ、違いは単純です。
- 最初のルールは非HTTPを直ちにドロップする
- 2番目のルールはHTTPを直ちに許可します
騙されるかもしれませんが、これらはまったく似ていません。その理由は次のとおりです。
サーバー上にはいくつかの種類のトラフィックが存在しますが、最初のルールではそれを禁止するだけです。
同時にではないHTTPを許可する: HTTPが許可されるかどうかは、後続のルールによって決定されます。チェーンポリシー。
一方、2 番目のルールは、HTTP を明示的に許可し、他のすべてを改ざんしません。
1番目のようなルールが必要な状況はまれにあるので、絶対に確信が持てない限り2番目のルールに従ってください。なぜ最初のものが必要です。