我有一台 Linux 3.10 机器,用作wlan0LAN 和eth0WAN 之间的 NAT 路由器。我想允许 LAN 上的机器(它们是值得信赖的)之间的所有通信,并允许它们随意向外连接,但禁止所有未经请求的入站流量进入路由器和 NAT 机器。
我还想阻止来自路由器和 LAN 机器的所有出站多播流量,因为 LAN 管理员之前曾因为我的机器的多播流量而对我大喊大叫。
我的iptables.rules文件如下所示:
# Generated by iptables-save v1.4.21 on Sun Apr 20 21:38:37 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [23:2184]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i wlan0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m pkttype --pkt-type multicast -j DROP
COMMIT
# Completed on Sun Apr 20 21:38:37 2014
# Generated by iptables-save v1.4.21 on Sun Apr 20 21:38:37 2014
*nat
:PREROUTING ACCEPT [1643:178375]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Apr 20 21:38:37 2014
我该如何修改它以便 LAN 客户端(和路由器!)可以相互通信?该OUTPUT规则是否像我希望的那样过滤所有流向 WAN 的多播?
*实际上不大叫但足够接近了