关于INPUT DROP的怪事,有相关经验的人进来看下
我从前用过INPUT DROP这条规则http://bbs.txwm.com/UploadFile/2006-11/2006112221831911.bmp
http://bbs.txwm.com/UploadFile/2006-11/2006112221838984.bmp
http://bbs.txwm.com/UploadFile/2006-11/2006112221930112.bmp
用了半年来一直都好好的,可以同时实现禁PING,指定IP登陆,一定程度上抗DDOS和SYN(虽然说是一定程度,但真没因为攻击掉过一次)
这次路由器当掉了(网卡KO```)换了一台双核的机器,可妈的一用这次规则就所有机子掉线
从前都好好的,到底怎么了?
DROP掉是INPUT 不是NAT转发。这应该没有问题。在LINUX下用IPTABLES -P INPUT DROP 一样可以照常上网的
还正好想写一篇关于简约防火墙感想的```唉,谁能解答一下? 光有人看,没人理,bbs.router.net.cn是这样,这边也是这样``唉 没有回应是因为别人也在迷惑中,例如我。你描述的问题此前已被观察到,但还没有找到绝对可信的理据,所以暂时只能当作有待观察的现象等待其他信息证实。你总不希望别人未经考虑胡乱吹牛应答吧。 有这条应该会造成无法和网关通信,造成无法上网!
所以,楼主肯定是那种“知其然,不知其所以然”的人 楼上说的很肯定,但一样没有回答到我的疑问
要是不能和网关通信,为什么我从前可以用。反而我倒不是按你的方法去理解这条规则,虽然我没有你高手
这条规则网上也早已经有流传,也不止我一个人用。更何况我从前也有用过。这也不能说明问题吗? 原帖由 seignior 于 2007-5-10 23:36 发表 http://bbs.routerclub.com/images/common/back.gif
没有回应是因为别人也在迷惑中,例如我。你描述的问题此前已被观察到,但还没有找到绝对可信的理据,所以暂时只能当作有待观察的现象等待其他信息证实。你总不希望别人未经考虑胡乱吹牛应答吧。
不好意思,急燥了一点,因为这两天被人攻击得烦了```现在暂时还在用ip--firewall--filter rules(input) +drop src.address=0.0.0.0/0 interface=LAN dst.address=0.0.0.0/0 protocol=UDP connection State=new
这个规则顶着```
麻烦你费心了 为什么不指定interface? 之前观察过forward和input的差别,的确有些迷惑。
在部分版本,对于流过ros的报文,forward是可行的,但在另一些版本(或者和版本无关,可能和设备有关,例如顶楼提到的双核cpu),就只能用input。
而一般而言,似乎input且指定interface外网(7楼才是对的),的确不影响nat,似乎又可以由此推断input仅仅指对ros自身的连接而不是nat的转发。
反正当前有些迷糊。 2.9.27非常稳定,至少我这里已经又很多应用..... 那暂时只能换低版本的试试了,楼上的能告诉我一下比ROS2.927版本低一点的其它版本吗?
我原来那个我记不太清楚了,先谢谢了~! 2.9.7,2.9.6都可用,2.8.x我就忘记了,也没问题。
我倒是有些奇怪,各种应用环境、各种规模、各种版本我都用过,都没发生什么意外的事情,但依然老是有人说这个版本如何那个版本如何........ 我觉得正是因为如此有时候我们看到老外一些夸张的设备
心里在想,哇,有必要吗?
其实和浪费还是有些区别的,如果我们的硬件和软件也如此的规范化
也许很多看似奇妙的问题根本就不会出现吧 区别是不是低版本的ROS如果不指定 interface 那就默认为无(其实这条规则无效),而高版本会默认为all interface,所以把客户机对网关的通讯也给
DROP了? 楼主说以前可以,关键是以前这条是放在哪个位置
你仅仅说这条有问题没有意义,要整体的看规则
2。9系列的这条规则就是指所有端口进入路由器的数据都被DROP,所以,如果防火墙的第一条是这个的话,你连ROS都进不了,除非用控制台进去后把这条删除 从最后一个图片就可以看到上面那条就是允许192。168。0。13的源地址数据包进入路由器,其他的包都被下一条DROP了,所以,不能排除上面还有什么规则,从图片上看,这个DROP的规则是最后一条,所以,上面有哪些特立的规则我们并不知道,而楼主仅仅拿这条出来问问题,没有任何意义
[ 本帖最后由 专卖精品 于 2007-5-11 02:18 编辑 ]
页:
[1]
2