我使用 ubuntu 作为多个主机的网关。我需要建议如何阻止特定 IP 地址或特定 IP 范围的 IP 转发?
我尝试通过 ufw 拒绝规则来阻止 ip,但看起来 ip 转发设置无法通过规则修改,并且只能全局应用(/etc/default/ufw 中的 DEFAULT_FORWARD_POLICY)
我也尝试直接更改 iptables 规则:
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
此命令之后,ip forwarding restrict规则将阻止来自所有远程主机的转发请求。
更新:当前 iptable 输出:
root@mtu90:/home/pi# iptables -L -n -v
Chain INPUT (policy ACCEPT 5671 packets, 927K bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 172.16.1.77
192 15408 DROP all -- * * 172.16.1.77 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
895 136K all -- * * 0.0.0.0/0 0.0.0.0/0
518 30999 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 119 packets, 14872 bytes)
pkts bytes target prot opt in out source destination
答案1
我认为你想得太多了。使用 iptables 阻止转发请求很简单,只要你喜欢就可以了。
当然,有一个默认设置 - 默认情况下可以允许或拒绝转发 - 您的当前设置是允许的。因此,要删除特定主机,只需添加 iptables 规则
iptables -I FORWARD -d source.rce.ip.add -j DROP
请务必记住删除规则以拒绝前向链中的所有内容。