1.黑名单机制
当链的默认策略为ACCEPT时,链中的规则对应的动作应该为DROP或者REJECT,表示只有匹配到规则的报文才会被拒绝,没有被规则匹配到的报文都会被默认接受,这就是黑名单机制。
2.白名单机制
当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到规则的报文才会被放行,没有被规则匹配到的报文都会被默认拒绝,这就是白名单机制。
示例:白名单,只放行被匹配到的报文,其他的报文都被拒绝
这样做的问题是:如果此时执行iptable -F操作,filter表中所有链中的所有规则都会被清空,而INPUT链的默认策略为DROP,所有的报文都会被拒绝。
常用白名单替代方法:
将链的默认策略保持为 ACCEPT;
将放行规则放到INPUT链中的前面;
将拒绝所有请求这条规则放在链的尾部。
这样即使我们误操作iptabls -F,运维人员也能远程连接到主机上进行维护,因为默认策略还是ACCEPT。