我有两张网卡
eth0:- 172.16.91.70 (External Zone)
eth1:- 172.16.85.70 (Internal Zone)
我的内部区域中有可以访问外部网络的客户端。 ping 正常,可以访问外网。现在我想限制内部区域的访问。外部区域连接到另一个网络 172.16.81.0 并连接到 172.16.79.0
现在我希望我的内部区域能够访问完整的 172.16.91.0 网络,丢弃来自 81.0 网络的数据包并访问 79.0 网络。但我也不希望它访问互联网,因为鱿鱼代理服务器位于 81.0 网络中。
答案1
当您充当这些网络的路由器时,这些都将出现在您的 FORWARD 链中。首先创建接受规则,然后拒绝其余规则。
iptables -I FORWARD -s 172.16.85.0/24 -d 172.16.91.0/24 -j ACCEPT -m comment --comment "allow to 172.16.91.0/24"
iptables -I FORWARD -s 172.16.85.0/24 -d 172.16.79.0/24 -j ACCEPT -m comment --comment "allow to 172.16.79.0/24"
iptables -I FORWARD -s 172.16.81.0/24 -d 172.16.85.0/24 -j DENY -m comment --comment "Nothing from 172.16.81.0/24"
我已明确遵守您的规则,不允许进出您提到的地方可能想要阻止两个方向(但阻止来自网络的流量意味着您发送的数据包在穿过防火墙的返回路由上被丢弃)。