iptables:更改策略还是使用catch-all规则？

Question

在设置iptables时，您要做什么:更改默认策略(例如，iptables -P INPUT DROP)，或者在规则集(iptables -A INPUT DROP)的末尾添加一个catch规则？如果你特别喜欢一个，你的偏好背后的理由是什么？

对于这个论坛来说，这可能是一个过于主观的问题，但也许有一些很好的理由来选择一个而不是另一个，我不知道。

与策略相反，由于过于乐观的iptables -F，我可能更容易将自己锁在服务器之外。因为我知道删除所有捕获规则可能会更容易，而不会注意到它，从而有效地使服务器完全开放(我在过去就遇到过这种情况)。

的确，您不应该依赖防火墙作为唯一的internet保护(例如，大多数情况下可以使内部网络服务绑定到本地主机或内部网络)，但有时不得不将半公共服务暴露到特定的源网络中，等等。

就我个人而言，如果从头开始编写规则集，我倾向于选择第一个规则集，但如果更新现有规则集，则坚持已经到位的规则集。

Answer 1

我使用这两种方法，设置策略和最后的下降规则，因为我就是这样的铁杆。

我在我调用和更新的脚本中定义了我的规则。我从不直接调用iptables，然后偶尔会列出规则/统计数据。我从来没有真正看到一个比另一个更好的原因。

Answer 2

在交换方面，我更希望有一台机器w/o防火墙一段时间，这是偶然的(如果您刷新规则而忘记或类似的话，这是让-P允许的风险)，而不是让一台机器意外地从网络上掉下来(如果策略被删除，这是刷新的结果)。我的推理是，防火墙不是保护我的服务器的唯一方法，所以防火墙故障是一个错误，而不是灾难。用户最常无法获得的服务是一场灾难。

Answer 3

这里有两个理由，为什么有一个通吃的规则可能更好：

1. 默认策略的选项有限。如果你不想让包通过，你只有一次选择:掉(包落在地板上)。在所有捕获规则中，您可以使用拒绝，它可以发送ICMP响应。
2. 如果您有任何解析iptables -L输出的脚本，则catch-all规则将以与所有其他规则相同的格式显示，从而使解析更容易。