iptables问题

leelangco

情况是这样的
主机A：192.16.7.12/255.255.0.0  上面启用了IPTABELS

主机B：192.26.8.19/255.255.0.0  想访问A，做任何事情

A在上海，B在北京

A，B之间通过电信专线连接，中间除了路由器，没有其他东西

A这边到B的路由器接口地址：192.16.7.251/16
B这边到A的路由器接口地址：192.26.1.254/16

目前A上的策略是对所有的INPUT都拒绝
但放开了B主机的MAC地址的访问

iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff(B的MAC地址) -j ACCEPT

但B ping不通A，也不能SSH到A

但我加了
iptables -A INPUT -s 192.26.0.0/16 -j ACCEPT，后就可以了

但我觉得这样北京那边的主机都可以访问A了

不知道大家有没有更好的策略

因为我只想B能访问A

chenyx

过路由之后,mac地址就不是原来的那个了,你试试

1. iptables -A INPUT -s 192.268.19/32 -j ACCEPT

复制代码

leelangco

嗯 指定主机IP我知道  但北京那边的机器IP都是自动获得的

我怕待会B重新获得别的地址，就不行了

或者B关机的时候，别人配了一个和B现在相同的IP，也能访问A了

还是想从物理上控制，比如说MAC之类的

chenyx

物理地址没法穿透路由器,这个没有办法,你那边dhcp改一下呗,将B的ip在dhcp里面固定下来吧

q1208c

如果连谁得哪个IP都管理不了, 那就不要用IP来认证, 换成用户名, 密码的方式吧.

vermouth

不是同一网段直连,不会去认mac啊

dbsrv

mac地址不会穿越路由器，这条绑MAC的命令就是一块废料，要么你让B固定了IP，要么每次B的IP变动后你去改iptables
还有第三种做法，声控——找个人，每次对他喊一嗓子：B的IP变了！！那个人就会去改A的iptables了……

至于说别人偷摸配了B的IP地址去访问A，那你只能在1.254那个路由器上增加B+MAC的绑定关系来防止。

dearloki

绑固定IP加MAC地址，MAC地址是过不去的