我使用 NAT 将请求从外部端口移动到由 proxmox 托管的内部 IP 地址和端口。
像这样:
iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8000 -j DNAT --to 10.0.0.1:80
然而,即使我尝试暂时阻止端口 8000,请求仍然可以通过,我可以访问网页。
使用 NAT 时不能阻止主机上的端口吗?我必须在虚拟机上执行此操作吗?这只是错误的命令吗?ufw deny 8000
答案1
您在 PREROUTING 链中使用端口转发,因此您必须在主机系统上的 FORWARD 链中使用端口阻止或在客户系统的 INPUT 链中阻止端口。
但删除 portfording 规则让网站无法访问更加容易
看一下此图表来了解其IPTables Chain Order工作原理:
http://www.ironflake.org/wp-content/uploads/2011/02/Linux_IptablesSchema.png
