如何隔离网络中的一台计算机
隔离IP:10.17.15.99
子网:10.17.15.0
网关:10.15.15.1
尝试过:
iptables -I INPUT -s 10.17.15.99 -d 10.17.0.0/24 -j DROP
我需要:
- 从 .99 IP 访问互联网
- 从子网访问它
- 删除该 IP 到子网的所有连接
答案1
如果您希望允许从子网10.17.0.0/24到 的流量10.17.15.99,但不允许其他方式的流量,这会变得有点棘手。问题是当10.17.15.99响应来自 的流量时10.17.0.0/24,需要允许它。
您可以通过 iptables 状态跟踪来解决这个难题。这个想法是阻止新的连接从盒子出站,但允许它们入站。首先,推荐阅读以下内容:http://www.iptables.info/en/connection-state.html#USERLANDSTATES
因此,这一规则应该可以处理它:
iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP
请注意,上述规则应放置在处理该10.17.15.99盒子流量的网关/路由器上。唯一的其他选择是将过滤器放在盒子本身上,在这种情况下,您应该将 更改FORWARD为OUTPUT。
请注意,该state模块也支持 UDP,因此它也应该在那里工作,而不仅仅是 TCP。
答案2
您的iptables ... DROP规则看起来不错,只是您指定的子网不是您想要阻止访问的子网?
如果您需要更详细的帮助,您应该更好地描述您的网络。