私の記憶が正しいなら、上から下に?最後の包括的な基本的なアクションは、上記の規則に従わないすべてのパケットをドロップすることです。この場合、最後のルールでドロップされたパケットを記録する必要がありますか?
ベストアンサー1
私の記憶が正しいなら、上から下へ?
はい、そうです。
上記のルールと一致しないすべてのパケットを破棄する最後の包括的な基本的なタスクは何ですか?
可能ですが、期待しないでください。特定のチェーンの基本操作は、そのチェーンのポリシーによって決定されます。
現在の方針を確認できます。
[sudo] iptables -S
次の内容が表示されます(この場合、入力チェーンの戦略=ドロップ)。
-P INPUT DROP
現在のポリシーと異なる場合は、ポリシーを設定できます。
[sudo] iptables -P INPUT DROP
この場合、最後のルールでドロップされたパケットを記録する必要がありますか?
あなたに走りました。多くの人がそうするので、このようにルールを作ってみてください。
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
ルールセットの一番下に配置します。これにより、DROPチェーンポリシーによって編集される前にパケットと一致する最後のエントリになります。デフォルトでは、ログメッセージはカーネルと同じログファイルに送信されますが、rsyslogファイアウォールログのカスタムファイルを定義することもできます。