Chinaunix

标题: 求教iptables的一个过滤规则的用法 [打印本页]

---

作者: w_anthony    时间: 2015-11-05 15:19
标题: 求教iptables的一个过滤规则的用法
现在我有一台做网桥的机器，网桥一端连接路由器作为外网出口，另一端是一个交换机其里面是一个局域网。
我想让网桥的iptables默认规则是全放行的，但是要禁止局域网内的机器访问几个指定的网址，比如说拿www.baidu.com举例。
iptables -A FORWARD -d www.baidu.com -j DROP
我的理解是这样应该是把到baidu的数据包转发给悄悄扔了，但是实际上没有起任何作用，局域网内的机器仍然可以打开baidu（通过IP访问也可行）。
执行service iptables status，输出如下
表格：filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       all  --  0.0.0.0/0            115.239.211.112     
2    DROP       all  --  0.0.0.0/0            115.239.210.27      

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination   
是我的方法不对吗？应该怎么做才行呢？
-------------------------------------------     
我试过iptables -A OUTPUT -d www.baidu.com -j DROP，这样网桥这台机器本身确实无法访问baidu了，iptables应该是正常工作的，只是不知道正确的规则写法是什么？

---

作者: w_anthony    时间: 2015-11-05 16:07


是不是非路由，只是网桥的情况下，配置FORWARD链不起作用啊？那又没有办法通过iptables来限制呢？


----------------------------------------------------------------

11月9日:
我终于找到答案了，http://serverfault.com/questions ... e-and-forward-chain，这个老外是奇怪为什么iptables可以过滤网桥数据包，然后下面有个朋友说，可以关掉这个功能，这样数据包就不会经过iptables，“echo '0' > /proc/sys/net/bridge/bridge-nf-call-iptables”。我看了下，我这个机器这项是0，我改成1，结果iptables就起作用了。我找了那么多资料，可惜就是没有人告诉我还有这么一个配置项。

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2