iptables match到一條policy之后就不會(huì)往下繼續(xù)查找policy了，來看看為什么。

　　也就是說，當(dāng)一個(gè)包到達(dá)網(wǎng)卡，iptables檢查的時(shí)候，是按照我們/etc/sysconfig/iptables中設(shè)定的規(guī)則一條一條往下check的，所以，設(shè)定在前面的規(guī)則會(huì)影響到后面的規(guī)則，設(shè)置的時(shí)候小心了。比如：

　　# Generated by iptables-save v1.2.8 on Sun Nov 25 16:13:01 2007

　　*filter

　　:INPUT DROP [0:0]

　　:FORWARD ACCEPT [0:0]

　　:OUTPUT ACCEPT [0:0]

　　-A INPUT -i eth1 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP

　　-A INPUT -i lo -j ACCEPT

　　-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT

　　-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT

　　-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT

　　-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT

　　-A INPUT -m state --state ESTABLISHED -j ACCEPT

　　-A OUTPUT -o lo -j ACCEPT

　　-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT

　　-A OUTPUT -p tcp -m tcp --sport 53 -j ACCEPT

　　-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

　　-A OUTPUT -p tcp -m tcp --sport 139 -j ACCEPT

　　COMMIT

　　# Completed on Sun Nov 25 16:13:01 2007

　　這樣的一段規(guī)則，設(shè)置之后就沒有任何效果。因?yàn)橐婚_始：

　　-A INPUT -i eth1 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP

　　這一句就把所有發(fā)往eth1的可能的網(wǎng)絡(luò)鏈接封掉了，所以，下面的開放22端口這些東西就全都無效了，因?yàn)閕ptables根本就不往下看了。所以，一定要小心了。

通過上文，想必大家都知道為什么iptables match到一條policy之后就不會(huì)往下繼續(xù)查找policy了把！希望本文對(duì)你們有用！

【編輯推薦】

1. linux iptables layer7 模塊 中文howto
2. iptables 學(xué)習(xí)筆記
3. iptables配置備份
4. Linux系統(tǒng)Iptables端方執(zhí)行詳細(xì)講解
5. Linux系統(tǒng)Iptables防火墻
6. Ubuntu 10.10 設(shè)置iptables做NAT
7. iptables與natcheck