Ich habe Folgendes in den Iptables meines Servers gefunden:
-A INPUT -i eth2.600 -p udp -m udp --sport 53 -m limit --limit 10000/sec --limit-burst 200 -j ACCEPT
-A INPUT -i eth2.600 -p udp -m udp --sport 53 -j DROP
Werden Pakete von Port 53 akzeptiert oder nicht? Oder werden sie akzeptiert, solange die erste Regel in Ordnung ist (das Limit ist nicht erreicht) und dann verworfen?
Antwort1
Die Maßnahme wird nur ergriffen, wennalleRegelbedingungen erfüllen – andere Pakete „fallen durch“ zur nächsten Regel. Dasselbe gilt, wenn der Port nicht übereinstimmt, das Protokoll nicht übereinstimmt oder die Ratenbegrenzung nicht übereinstimmt.
Wenn das Paket also die Anforderungen erfüllt -m limit, wird es akzeptiert. Wenn es jedoch die Anforderungen nicht erfüllt,NEINDie Aktion wird von der ersten Regel ausgeführt – das Paket geht einfach zur zweiten Regel (DROP).
Ein explizites DROP hängt vom Regelsatz ab – es ist nicht unbedingt erforderlich (z. B. könnte am Ende ein Catch-All-DROP oder eine globale Drop-Richtlinie stehen), es sorgt jedoch für eine gewisse Klarheit, wenn der Regelsatz sehr lang ist, und verhindert, dass dieselben Pakete versehentlich von einer anderen Regel darunter akzeptiert werden.