如果我先“丟棄”然後添加“接受”規則，則考慮哪個防火牆規則。放棄還是接受？

我使用以下防火牆規則將流量限製到特定埠號。

  /sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j DROP

過了一段時間我想允許流量，所以添加下面的防火牆規則。

  /sbin/iptables -A INPUT -p tcp --destination-port <port_num> -j ACCEPT

是否正確，或者我必須在添加第二條規則之前刪除第一條規則。如果我不刪除第一條規則，則兩條規則都存在於 INPUT 鏈中。那麼考慮哪一個？這是在 CentOS7 中，期待您的建議。

該-A標誌附加到規則集。使用-I在鏈的開頭或編號位置插入規則。規則按順序處理，因此您添加的第一個規則將首先處理，第二個將永遠不會被執行。

您可以使用 來查看您的INPUT鏈的完整規則集iptables -nvL INPUT。

由於您在 CentOS 上，您可能希望使用它的標準防火牆工具，firewalld而不是低級的iptables.

另請參閱https://unix.stackexchange.com/a/191614/100397以了解終止鏈的規則和不終止鏈的規則。

引用自：https://unix.stackexchange.com/questions/594942