ipchainsコマンドで指定したフィルタ条件は,上から順に条件を評価し,条件に合致する行が見つかった時点でその行に書いてある動作を実行し,そこで実行を終わります。その下の条件判定は行わない点に注意してください。
P268図5-6(C)の例だと,(2)の条件に合致したパケットは,そこでDENYを実行,つまり,パケットは廃棄され,その下の条件判定は行いません。そして,(2)の条件に合致しないパケットが(3)と(4)の条件判定を行うことになります。そのため,(4)までたどり着くパケットは,(2)と(3)のいずれの条件にも合致しないものだけとなります。つまり,宛先アドレスが10.1.1.0/255.255.255.0で宛先ポート番号が80のものは,(2)の条件に合致するのでDENYされ,それ以外のパケットが(4)の条件に合致してACCEPTされます。(2)でDENYしたものが(4)でACCEPTされることはありません。 また,(4)はポート番号80のパケットが全部合致するので,それを(2)の前に書くと,(2)の条件が実質的に無効になります。(2)でDENYするつもりだったパケットが,(2)にたどり着く前に(4)でACCEPTされてしまうからです。
どうでしょう,この説明でわかります?
More information about text formats
条件に合致したら,そこで実行が終わります
ipchainsコマンドで指定したフィルタ条件は,上から順に条件を評価し,条件に合致する行が見つかった時点でその行に書いてある動作を実行し,そこで実行を終わります。その下の条件判定は行わない点に注意してください。
P268図5-6(C)の例だと,(2)の条件に合致したパケットは,そこでDENYを実行,つまり,パケットは廃棄され,その下の条件判定は行いません。そして,(2)の条件に合致しないパケットが(3)と(4)の条件判定を行うことになります。そのため,(4)までたどり着くパケットは,(2)と(3)のいずれの条件にも合致しないものだけとなります。つまり,宛先アドレスが10.1.1.0/255.255.255.0で宛先ポート番号が80のものは,(2)の条件に合致するのでDENYされ,それ以外のパケットが(4)の条件に合致してACCEPTされます。(2)でDENYしたものが(4)でACCEPTされることはありません。
また,(4)はポート番号80のパケットが全部合致するので,それを(2)の前に書くと,(2)の条件が実質的に無効になります。(2)でDENYするつもりだったパケットが,(2)にたどり着く前に(4)でACCEPTされてしまうからです。
どうでしょう,この説明でわかります?