風吹草低 <ycs@bbs.ee.ntu.edu.tw> wrote in message
news:3c1BCf$GfG@bbs.ee.ntu.edu.tw...
> ※ 引述《ycs (風吹草低)》之銘言:
> : 請教 一下
> : ipchains -A/-I input/output
> : 中的-A 跟 -I 增加跟插入的差別
> : 還有
> : input -s xxx.xxx.xxx.xxx/xx -d yyy.yyy.yyy.yyy/yy
> : 是說封包從 xxx.xxx.xxx.xxx/xx 進來
> : output -s xxx.xxx.xxx.xx/xx -d yyy.yyy.yyy.yyy/yy
> : 是說封包從 yyy.yyy.yyy.yyy/yy 出去
> : 還是怎麼樣
> : 謝謝
> sorry 我指的是 input 跟output 差別

如果指定界面 (-i )﹐所謂 input 就是從該界面傳入主機的封包﹐所謂 output 就是
從該界面傳出去的封包。
如果沒有指定界面﹐則泛指從所有界面 傳入(input) 或 傳出(output) 的封包。
而在每一個封包中﹐都有一個 來源(source) 地址和 目的地(destination) 地
 ﹐ -s 就是來源﹐ -d 就是目的地。

如果您這樣寫﹕
ipchains -A input -i eth0 -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy -j
DENY
就是說﹕
所有從 eth0 傳入的 TCP 封包﹐如果是從 xxx.xxx.xxx.xxx 傳給 yyy.yyy.yyy.yyy
的話﹐一律給予 deny。這行會加在 input 規則的最後一行(-A )。
如果再這樣寫一行的話﹕
ipchains -I input 1 -s xxx.xxx.xxx.xxx -j ACCEPT
那麼相同的封包就已經放行了﹐而不會檢查到上面舉例的那行﹐因為  -I input 1 是
要將這行 rule 加在 input 這個 chain 的第一行。只要條件符合﹐就不再往下檢查其
它 rules 了。所以﹐設定 ipchains 的順序要格外小心哦~~~