Router1 是另一个路由器(2) 的网关。 Router1 已设置 Router2 所连接的 10.0.0.1/8 lan 网络。 10.0.0.1显然是lan的网桥ip地址,也是为router2分配的网关ip。
Router1 具有以下规则,成功阻止来自 router2 的每次尝试到达不同于 10.0.0.1 的目的地(router1 ip 本身..),但不幸的是只有当 router2 使用 10.0.0.1 作为网关时。
iptables -t raw -I PREROUTING ! -d 10.0.0.1 -j DROP
问题是:如果我将router2的网关从10.0.0.1更改为10.22.22.1并使用dhcp获取IP地址或手动设置10.22.22.22/24(例如) - router2能够从router1访问互联网!?这对我来说很奇怪,因为上面的规则非常清楚。
我应该应用什么规则来阻止 router2 互联网,并仅允许访问网关 10.0.0.1/8 ? (LAN 绝对需要 /8 网络,而且我只需要原始表命令)。
答案1
事实证明,我有并发的 10.0.0.0/8 网络与其他 10.0.0.0/8 网络桥接。因此,当实际发生丢弃时,它正在从另一个不同的网络获取数据包,并且路由器无法控制它。