在严格情况下配置 iptables 时是否需要同时设置 filter, mangle, nat, raw, and security 为 DROP?

global_biz 2015-10-14 06:07:16
Hi,

在严格情况下配置 iptables 时是否需要同时设置 filter, mangle, nat, raw, and security 为 DROP?
发现 filter, mangle, raw, security 可以将 chain 设置为 DROP ,但是 nat 不能设置为 DROP,提示说 nat 不是用来做 filtering??

实际项目上有没设置过 nat 为 DROP 或 REJECT 的?谢谢。

# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
# iptables -t nat -P OUTPUT DROP
iptables v1.4.21:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.


Try `iptables -h' or 'iptables --help' for more information.
#
...全文
434 4 打赏 收藏 转发到动态 举报
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
global_biz 2015-10-15
  • 打赏
  • 举报
 回复
引用 3 楼 zw0283 的回复:
一般来说,NAT是做地址转换的,比如修改源地址和目标地址,对数据包的通过和丢弃应该是在filter或mangle里做的。。写一个就好吧,要是有特殊要求可以写多个,不过我没试过。。。 还有,你这是Linux的问题。。这里是Java的,当然没人回复了
谢谢
zw0283 2015-10-15
  • 打赏
  • 举报
 回复
一般来说,NAT是做地址转换的,比如修改源地址和目标地址,对数据包的通过和丢弃应该是在filter或mangle里做的。。写一个就好吧,要是有特殊要求可以写多个,不过我没试过。。。 还有,你这是Linux的问题。。这里是Java的,当然没人回复了
global_biz 2015-10-14
  • 打赏
  • 举报
 回复
又没回复
global_biz 2015-10-14
  • 打赏
  • 举报
 回复
有回复就结贴送分了。
iptables 企业级防火墙配置(四表五链)
它的数据包转发的效率也非常高,据悉在一台普通硬件设备上配置 iptables转发功能,在同提供几百人共享上网环境下,好不逊色企业级专业路由器的转发效率。     所以 iptables(CentOS 7.x 之后叫做 ...
SECURITY04 - iptables防火墙 filter表控制 扩展匹配 nat表典型应用
NSD SECURITY DAY04   案例1:iptables基本管理 案例2:filter过滤和转发控制 案例3:防火墙扩展规则 案例4:配置SNAT实现共享上网 1 案例1:iptables基本管理 1.1 问题 本案例要求练习iptables命令的使用,...
【Linux系统】第16节 Linux系统iptables命令详解—包过滤规则和NAT网络地址转换
目录1 iptables中的“四表五链”概述1.1 iptables中的“四表”1.2 iptables中的“五链”2 iptables命令详解及示例2.1 iptables命令语法规则2.2 ...iptables服务的重启、备份与保存3 NAT网络地址转换示例3.1 示例13.2
SECURITY 04: iptables防火墙 filter表控制 扩展匹配 nat表典型应用
iptables防火墙 filter表控制 扩展匹配 nat表典型应用 案例1:iptables基本管理案例2:filter过滤和转发控制案例3:防火墙扩展规则案例4:配置SNAT实现共享上网1 案例1:iptables基本管理1.1 问题本案例要求练习...
iptables个人总结
raw、manglenatfiltersecurity (优先级由高到低) filter表:用于控制到达某条链上的数据包是继续放行、直接丢弃(drop)或拒绝(reject); nat表:用于修改数据包的源和目的地址; mangle表:用于...
Web 开发

81,092

社区成员

341,716

社区内容

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章