Iptables/ufw-使用 nat 时阻止端口

Iptables/ufw-使用 nat 时阻止端口

我使用 NAT 将请求从外部端口移动到由 proxmox 托管的内部 IP 地址和端口。

像这样:

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8000 -j DNAT --to 10.0.0.1:80

然而,即使我尝试暂时阻止端口 8000,请求仍然可以通过,我可以访问网页。

使用 NAT 时不能阻止主机上的端口吗?我必须在虚拟机上执行此操作吗?这只是错误的命令吗?ufw deny 8000

答案1

您在 PREROUTING 链中使用端口转发,因此您必须在主机系统上的 FORWARD 链中使用端口阻止或在客户系统的 INPUT 链中阻止端口。

但删除 portfording 规则让网站无法访问更加容易

看一下此图表来了解其IPTables Chain Order工作原理:

http://www.ironflake.org/wp-content/uploads/2011/02/Linux_IptablesSchema.png

相关内容