充满公共 IPv4 地址的 LAN - 如何过滤它？

Question

没有 NAT 的话就简单多了。如果你有使用 iptables 的经验，应该很简单：（我使用 1.2.3.0/24 作为你的 LAN）。只需使用 FORWARD 表即可。

允许 ESTABLISHED 和 RELATED 连接（与 nat 完全相同）
允许传出端口 80、433……，其中源地址来自本地 IP 范围（如果您需要过滤传出流量）（-s 1.2.3.0/24 允许来自 LAN 的源地址，如果您不设置目的地“-d”，则表示任何目的地）。如果您不限制传出流量，只需使用“-s 1.2.3.0/24 -j ACCEPT”）
允许所需的服务（如果您有网络服务器，请允许使用网络服务器的目标 IP 的端口 80）（-d 1.2.3.4 -p tcp --dport 80，...如果您不设置源 -s，则表示任何源 IP）
放弃其他一切

例如：

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 1.2.3.0/24 -j ACCEPT #allow everything out
iptables -A FORWARD -d 1.2.3.4 -p tcp --dport 80 -j ACCEPT #webserver
iptables -A FORWARD -d 1.2.3.0/24 -j DROP

Answer 1

没有 NAT 的话就简单多了。如果你有使用 iptables 的经验，应该很简单：（我使用 1.2.3.0/24 作为你的 LAN）。只需使用 FORWARD 表即可。

允许 ESTABLISHED 和 RELATED 连接（与 nat 完全相同）
允许传出端口 80、433……，其中源地址来自本地 IP 范围（如果您需要过滤传出流量）（-s 1.2.3.0/24 允许来自 LAN 的源地址，如果您不设置目的地“-d”，则表示任何目的地）。如果您不限制传出流量，只需使用“-s 1.2.3.0/24 -j ACCEPT”）
允许所需的服务（如果您有网络服务器，请允许使用网络服务器的目标 IP 的端口 80）（-d 1.2.3.4 -p tcp --dport 80，...如果您不设置源 -s，则表示任何源 IP）
放弃其他一切

例如：

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 1.2.3.0/24 -j ACCEPT #allow everything out
iptables -A FORWARD -d 1.2.3.4 -p tcp --dport 80 -j ACCEPT #webserver
iptables -A FORWARD -d 1.2.3.0/24 -j DROP

充满公共 IPv4 地址的 LAN - 如何过滤它？

答案1

相关内容