免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1526 | 回复: 1

[其他] 求教iptables的一个过滤规则的用法 [复制链接]

论坛徽章:
9
摩羯座
日期:2013-08-15 15:18:48狮子座
日期:2013-09-12 18:07:47金牛座
日期:2013-09-16 13:23:09辰龙
日期:2013-10-09 09:03:27白羊座
日期:2013-10-17 13:32:44子鼠
日期:2014-04-23 15:09:38戌狗
日期:2014-09-17 11:37:542015年亚洲杯之韩国
日期:2015-03-26 10:16:442015亚冠之武里南联
日期:2015-08-18 14:55:52
发表于 2015-11-05 15:19 |显示全部楼层
现在我有一台做网桥的机器,网桥一端连接路由器作为外网出口,另一端是一个交换机其里面是一个局域网。
我想让网桥的iptables默认规则是全放行的,但是要禁止局域网内的机器访问几个指定的网址,比如说拿www.baidu.com举例。
iptables -A FORWARD -d www.baidu.com -j DROP
我的理解是这样应该是把到baidu的数据包转发给悄悄扔了,但是实际上没有起任何作用,局域网内的机器仍然可以打开baidu(通过IP访问也可行)。
执行service iptables status,输出如下
表格:filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       all  --  0.0.0.0/0            115.239.211.112     
2    DROP       all  --  0.0.0.0/0            115.239.210.27      

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination   
是我的方法不对吗?应该怎么做才行呢?
-------------------------------------------     
我试过iptables -A OUTPUT -d www.baidu.com -j DROP,这样网桥这台机器本身确实无法访问baidu了,iptables应该是正常工作的,只是不知道正确的规则写法是什么?

论坛徽章:
9
摩羯座
日期:2013-08-15 15:18:48狮子座
日期:2013-09-12 18:07:47金牛座
日期:2013-09-16 13:23:09辰龙
日期:2013-10-09 09:03:27白羊座
日期:2013-10-17 13:32:44子鼠
日期:2014-04-23 15:09:38戌狗
日期:2014-09-17 11:37:542015年亚洲杯之韩国
日期:2015-03-26 10:16:442015亚冠之武里南联
日期:2015-08-18 14:55:52
发表于 2015-11-05 16:07 |显示全部楼层
本帖最后由 w_anthony 于 2015-11-10 13:17 编辑

是不是非路由,只是网桥的情况下,配置FORWARD链不起作用啊?那又没有办法通过iptables来限制呢?


----------------------------------------------------------------

11月9日:
我终于找到答案了,http://serverfault.com/questions ... e-and-forward-chain,这个老外是奇怪为什么iptables可以过滤网桥数据包,然后下面有个朋友说,可以关掉这个功能,这样数据包就不会经过iptables,“echo '0' > /proc/sys/net/bridge/bridge-nf-call-iptables”。我看了下,我这个机器这项是0,我改成1,结果iptables就起作用了。我找了那么多资料,可惜就是没有人告诉我还有这么一个配置项。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP