nftables,接受策略,给定 TCP 端口,仅限 LAN 机器

tag-icon tag-icon debian firewall nftables
nftables,接受策略,给定 TCP 端口,仅限 LAN 机器

这是一个nftables初学者的问题。

鉴于规则:

iifname $NIC_NAME tcp dport 22 accept

chain_input下面的链中:

table inet table_inet {
    chain chain_input {
        type filter hook input priority 0
        iif lo accept
        icmp type echo-request accept
        ct state established,related accept
        iifname $NIC_NAME tcp dport 22 accept
        policy drop
    }
    chain chain_output {
        type filter hook output priority 0
        policy accept
    }
    chain chain_forward {
        type filter hook forward priority 0
        policy drop
    }
}

如何修改此规则,以便只接受具有同一 LAN 中的 IP 的数据包?
我使用了LANiptables选项。 我希望我的问题足够清楚。-m iprange --src-range 192.168.4.1-192.168.4.254192.168.4.0/24

编辑1

我提议:

iifname $NIC_NAME tcp dport 22 ip saddr 192.168.4.0/24 accept

有了accept策略,我可以连接到 SSH 服务器,有了drop策略,我就不能。

答案1

您提议的

iifname $NIC_NAME tcp dport 22 ip saddr 192.168.4.0/24 accept

对我来说似乎是正确的。

相关内容