Chinaunix
标题:
求教iptables的一个过滤规则的用法
[打印本页]
作者:
w_anthony
时间:
2015-11-05 15:19
标题:
求教iptables的一个过滤规则的用法
现在我有一台做网桥的机器,网桥一端连接路由器作为外网出口,另一端是一个交换机其里面是一个局域网。
我想让网桥的iptables默认规则是全放行的,但是要禁止局域网内的机器访问几个指定的网址,比如说拿
www.baidu.com
举例。
iptables -A FORWARD -d
www.baidu.com
-j DROP
我的理解是这样应该是把到baidu的数据包转发给悄悄扔了,但是实际上没有起任何作用,局域网内的机器仍然可以打开baidu(通过IP访问也可行)。
执行service iptables status,输出如下
表格:filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 115.239.211.112
2 DROP all -- 0.0.0.0/0 115.239.210.27
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
是我的方法不对吗?应该怎么做才行呢?
-------------------------------------------
我试过iptables -A OUTPUT -d
www.baidu.com
-j DROP,这样网桥这台机器本身确实无法访问baidu了,iptables应该是正常工作的,只是不知道正确的规则写法是什么?
作者:
w_anthony
时间:
2015-11-05 16:07
本帖最后由 w_anthony 于 2015-11-10 13:17 编辑
是不是非路由,只是网桥的情况下,配置FORWARD链不起作用啊?那又没有办法通过iptables来限制呢?
----------------------------------------------------------------
11月9日:
我终于找到答案了,
http://serverfault.com/questions ... e-and-forward-chain
,这个老外是奇怪为什么iptables可以过滤网桥数据包,然后下面有个朋友说,可以关掉这个功能,这样数据包就不会经过iptables,“echo '0' > /proc/sys/net/bridge/bridge-nf-call-iptables”。我看了下,我这个机器这项是0,我改成1,结果iptables就起作用了。我找了那么多资料,可惜就是没有人告诉我还有这么一个配置项。
欢迎光临 Chinaunix (http://bbs.chinaunix.net/)
Powered by Discuz! X3.2