为什么只为输入而建立、相关?

信息安全 linux 防火墙
2021-09-09 03:46:27

在许多地方和教程中,我看到人们将这一行添加到他们的 iptables 中:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

他们只为“输入”做这件事。输出和转发呢?

  1. 对于 OUTPUT:是不是因为正常情况下所有东西都出去(OUTPUT)是允许的?( -j ACCEPT)

  2. 对于 FORWARD:他们假设他们的防火墙机器也是 FTP 服务器(!)否则如果 FTP 机器在防火墙后面,我们也需要另一个 FORWARD 规则。

1个回答

大多数防火墙策略侧重于限制入站流量;他们不会尝试限制出站流量。这就是为什么这仅适用于 INPUT,而不适用于 OUTPUT。如果允许所有输出,则将其应用于 OUTPUT 是没有意义的。

FORWARD 与端点无关。它仅与转发流量的路由器相关。我在 Internet 上看到的大多数防火墙规则集都集中在最终用户机器或服务器的防火墙上。

其它你可能感兴趣的问题
上一篇攻击者如何收集远程反馈以识别和利用缓冲区溢出? 下一篇SELinux 目标模式和基于能力的操作系统之间的实际区别是什么?