我想知道在允许 LAN 连接的同时阻止服务器互联网访问的最佳方法是什么。本质上,我希望服务器只能通过 LAN 访问。我应该阻止哪些 IP、端口等?
答案1
这实际上取决于您的网络拓扑。根据您的问题,听起来您希望阻止出站连接,而不仅仅是过滤入站连接。
最简单的方法之一就是创建防火墙规则,阻止到默认网关的流量。如果您有一个提供互联网访问的默认网关,这将阻止它们访问外部。
你可能想要应用的另一组规则是拒绝除以下之外的所有内容RFC 1918空间。
下面是一个可能有效的例子,如果你的网关是192.168.1.1
iptables -A INPUT -s 192.168.1.1/32 -j DROP
iptables -A INPUT -d 192.168.1.1/32 -j DROP
iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -d 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -d 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -s 172.16.0.0/12 -j ACCEPT
iptables -A INPUT -d 172.16.0.0/12 -j ACCEPT
值得注意的是,如果您的问题没有进一步说明,我将无法为您提供可能符合您实际需求的答案。在尝试更新软件等时,完全切断互联网访问将带来问题。
阻止对网关的直接访问并不能确保没有出站互联网访问。网络上的另一台服务器可能会充当网关、代理等。