iptables - 如何允许互联网但阻止子网?

iptables - 如何允许互联网但阻止子网?

如何隔离网络中的一台计算机

隔离IP:10.17.15.99

子网:10.17.15.0

网关:10.15.15.1

尝试过:

iptables -I INPUT -s 10.17.15.99 -d 10.17.0.0/24 -j DROP

我需要:

  • 从 .99 IP 访问互联网
  • 从子网访问它
  • 删除该 IP 到子网的所有连接

答案1

如果您希望允许从子网10.17.0.0/24到 的流量10.17.15.99,但不允许其他方式的流量,这会变得有点棘手。问题是当10.17.15.99响应来自 的流量时10.17.0.0/24,需要允许它。

您可以通过 iptables 状态跟踪来解决这个难题。这个想法是阻止新的连接从盒子出站,但允许它们入站。首先,推荐阅读以下内容:http://www.iptables.info/en/connection-state.html#USERLANDSTATES

因此,这一规则应该可以处理它:

iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP

请注意,上述规则应放置在处理该10.17.15.99盒子流量的网关/路由器上。唯一的其他选择是将过滤器放在盒子本身上,在这种情况下,您应该将 更改FORWARDOUTPUT

请注意,该state模块也支持 UDP,因此它也应该在那里工作,而不仅仅是 TCP。

答案2

您的iptables ... DROP规则看起来不错,只是您指定的子网不是您想要阻止访问的子网?

如果您需要更详细的帮助,您应该更好地描述您的网络。

相关内容