如何在实际网络环境中iptables规则的设计

如有帮助，请采纳一下，谢谢！

2.规则链
iptables将策略设定为规则，多条规则组成一个规则链，并且将处理不同类型的规则链进行分类：
处理路由选择前的数据包为（PREROUTING）
处理路由选择后的数据包为（POSTROUTING）
处理流入的数据包为（INPUT）
处理流出的数据包为（OUTPUT）
处理转发的数据包为（FORWARO）
在Linux中默认的iptables规则链库中设定了处理流入、处理流出、处理转发。
通常内网出去的流量都是都是可控的，但是外网进入的流量是不可控的，可能会存在一些攻击流量的进入。

3.动作
在设定策略的时候会有4种动作：允许、拒绝、记录、丢弃，这些在iptables中对于的就是：ACCEPT（允许）、REJECT（拒绝）、LOG（记录）、DROP（丢弃）
从字面上来理解，允许与记录都比较好理解，但是拒绝与丢弃可能会存在一些理解上的问题，拒绝其实就是当匹配上策略后，拒绝流量进入并返回拒绝的信息，而丢弃是当匹配上策略的时候，直接把流量丢弃掉并且不会回复任何的信息，这样在有外来侵入的时候外来者比较难判断是设备不在线还是被拒绝了，间接性的隐藏了服务器的运行状态。
需要注意的是，在配置默认规则动作时，默认的只能配置DROP（丢弃）无法配置REJECT（拒绝）。
如下图：
DROP（丢弃）

详情可以参考我的博文https://blog.csdn.net/qq_15604349/article/details/123269107