这是我在 iptables 防火墙脚本中指定的默认规则:
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
我有许多接口、许多网络和 NATing,流量应该转发到这些接口和网络,所以我将其FORWARD ACCEPT作为默认规则。接下来我有这个:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 2.4.5.6
最后我得到了这个:
iptables -A INPUT -i eth0 -j DROP
此DROP规则应仅丢弃发往网关主机的数据包。任何通过转发的流量均eth0不应受到影响。
我的问题是,如果我有一个INPUT DROP针对接口的规则,它是否会影响FORWARD同一接口上的链(或全局FORWARD ACCEPT链)?
答案1
不应该有任何问题,因为当“数据包将在本地传送时,应用 INPUT 链规则。本地传送由“本地传送”路由表控制:ip route show table local”并且 FORWARD 链应用于已路由的数据包,因此不用于本地传送的数据包将遍历此链。
所以你的 INPUT 链规则不应该影响 FORWARD 链规则。