我一直在尝试了解 Iptables。我查看了一些资料,他们说我可以通过以下方式阻止子网:
iptables -A OUTPUT -s 192.168.3.0/24 -j DROP
这让我想到了,
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-SSH tcp -- anywhere anywhere tcp dpt:ssh
DROP all -- 192.168.3.0/24 anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 192.168.3.0/24 anywhere
Chain fail2ban-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
但来自该子网的流量仍可通过。
为什么?提前致谢!
答案1
如果您想阻止来自防火墙机器的传出流量(源自防火墙机器本身),那么您的规则是正确的,但阻止源自一台机器的子网没有多大意义!
我认为您想阻止来自某个子网并穿过防火墙的流量。在这种情况下,您需要将规则添加到链中,FORWARD
而不是添加到OUTPUT
链中。
规则如下:
iptables -A FORWARD -s 192.168.3.0/24 -j DROP