屏蔽某网段IP上网的三种思路，请参与讨论

virtuaboy

看到一篇帖子：

我们公司是自己做了个简单的linux系统当防火墙，现在想屏幕10.1.1.11---10.1.1.255这些IP不能上网，那么怎么屏蔽啊 总不能我一个一个的加这些ip吧 有没有什么命令可以一下屏蔽好的呢

我有三个思路去做，不知道对不对，前提是ip_forward已经开启转发。

方法一：在FORWARD链进行处理
iptables -A FORWARD -p tcp -m multiport --port 7101,8001 -j ACCEPT
iptables -A FORWARD -m --iprange --src-range 10.1.1.11-10.1.1.254 -j DROP
iptables -A -t nat -POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE
这条语句就可以屏蔽10.1.1.11-10.1.1.254地址池的转发。如果要用到其他端口，就必须在前面ACCEPT

方法二：相反思维，允许10.1.1.1-10.1.1.10可以上网
Allow_host="1 2 3 4 5 6 7 8 9 10"
do
for ip in $Allow_host
iptables -A POSTROUTING -t nat -s 10.1.1.$ip -o eth0 -j MASQUERADE
done

方法三：通过子网掩码来实现（没试过）
iptables -t nat -A POSTROUTING -s 10.1.1.0/255.255.255.245 -o eth0 -j MASQUERADE

请大家指点一下，这三个思路对不对！

ssmarine

第三个方法不行吧，再说你的掩码也写错了。

dzb_01

第三种该这么写
iptables -t nat -A POSTROUTING -s 10.1.1.0/29 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.1.1.8/31 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.1.1.10 -o eth0 -j MASQUERADE

platinum

to LZ:
方法一：
iptables -A FORWARD -p tcp -m multiport --port 7101,8001 -j ACCEPT 多于，写和不写没区别
注：就你目前提供的环境而言

方法二：、
可行，但不好
这样做违背了 netfilter 的设计初衷，过滤应该用 filter 表，但你这样做确实可以达到同样的效果

方法三：
245 的掩码相当于 11110101，这是什么东东？要么是你笔误，要么是你该去补习一下网络基础了


to dzb_01:
第一个范围包括 0-7
第二个范围包括 8-9
第三个明确指定 10
确实可以，但同样类似 LZ 的方法二，虽然可以实现，却违背了 netfilter 的设计初衷，但这的确是一种实现的方法

ssffzz1

这3种方法的思路是可行的，基本的路子也是一样的，没有本质的区别，都是用防火墙＋区分这个网段的方法，只不过是区分的方法不一样而已。

virtuaboy

谢谢各位强人，特别是白金的回答真是画龙点睛啊。