drop proto tcp and not (dst port 80)
pass proto tcp and dst port 80
它們之間有區別嗎?
答案1
嗯,差別很簡單。
- 第一條規則立即丟棄非 HTTP
- 第二條規則立即允許 HTTP
儘管它可能會欺騙您,但它們還差得很遠。因為:
伺服器上有多種類型的流量,第一條規則只是禁止它。
同時它才不是允許HTTP:是否允許HTTP由後續規則決定或連鎖政策。
另一方面,第二條規則明確允許 HTTP 並且不會篡改其他所有內容。
在極少數情況下,您需要像第一條這樣的規則,因此除非您絕對確定,否則請遵循第二條規則為什麼你需要第一個。