我有这 2 个网络接口 linux 盒子 - eth0:192.168.1.1(互联网访问),eth1:192.168.10.1(本地网络访问),使用 iptables 和 Windows 进行如下配置。
sudo iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-N LOG_ACCEPT
-N LOG_DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j LOG_ACCEPT
-A INPUT -j LOG_DROP
-A FORWARD -i eth0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j LOG_ACCEPT
-A OUTPUT -j LOG_DROP
-A LOG_ACCEPT -j LOG --log-prefix "IPTABLES ACCEPT : "
-A LOG_ACCEPT -j ACCEPT
-A LOG_DROP -m limit --limit 2/min -j LOG --log-prefix "IPTABLES DROP : " --log-level 7
-A LOG_DROP -j DROP
sudo iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE
windows
static ip : 192.168.10.2
mask : 255.255.255.0
gateway : 192.168.10.1
dns : 192.168.10.1
我不明白为什么它不起作用:windows 盒子似乎有数据包通过其系统运行,但我无法浏览互联网也无法 ping 通互联网。
谢谢
答案1
在Windows机器上,我认为你应该根据你的iptables配置信息使用你的ISP的DNS服务器。如果您的 Linux 服务器计算机上有 DHCP 服务器,您应该使用 ISP 的域名服务器分配,如下所示:
option domain-name-servers ISP-DNS1.example, ISP-DNS2.example;
这可以解决你的问题。