내 서버의 iptables에서 이것을 찾았습니다.
-A INPUT -i eth2.600 -p udp -m udp --sport 53 -m limit --limit 10000/sec --limit-burst 200 -j ACCEPT
-A INPUT -i eth2.600 -p udp -m udp --sport 53 -j DROP
포트 53에서 패킷이 허용됩니까? 아니면 첫 번째 규칙이 괜찮다면(한계에 도달하지 않은 경우) 승인된 다음 삭제됩니까?
답변1
해당 조치는 다음 경우에만 수행됩니다.모두규칙 조건 일치 – 다른 패킷은 다음 규칙으로 "통과"됩니다. 포트가 일치하지 않거나, 프로토콜이 일치하지 않거나, 속도 제한이 일치하지 않는 경우에도 마찬가지입니다.
따라서 패킷이 만족하면 -m limit수락되지만 제한을 만족하지 않으면아니요첫 번째 규칙에 따라 작업이 수행됩니다. 즉, 패킷은 두 번째(DROP) 규칙으로 내려갑니다.
명시적인 DROP을 갖는 것은 규칙 세트에 따라 다릅니다. 100% 필요한 것은 아니지만(예: 결국 포괄적인 DROP이 있을 수 있거나 전역 삭제 정책이 있을 수 있음) 규칙 세트가 매우 길면 어느 정도 명확성을 제공합니다. 아래의 다른 규칙에 의해 동일한 패킷이 실수로 수락되는 것을 방지합니다.