我有一个路由器/网关,即 10.1.1.1/24 我有一个运行 Ubunutu 服务器 16.04 的服务器,它有 3 个接口。ens3 = 10.1.1.250/24(外部)ens4 = 10.1.2.250/24(内部)ens5 = 10.1.3.250/24(尚未使用)我添加了一个 nat 表规则来 SNAT ens3 外部接口。
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- any ens3 anywhere anywhere to:10.1.1.250
使用笔记本电脑,我将默认网关设置为 10.1.2.250,将 IP 设置为 10.1.2.22/24,并且能够 ping 通所有服务器接口、路由器并连接到互联网。
我添加了一个过滤规则,根据目标 IP 进行丢弃
Chain OUTPUT (policy ACCEPT 23 packets, 2564 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any anywhere 151.101.56.193
从服务器尝试访问该 IP 时,规则会阻止我的连接并且记录计数正确,但是从我的笔记本电脑连接到 ens4,我可以进入该网站并且不会被阻止。
我错过了什么?
答案1
OUTPUT 链用于来自服务器本身的数据包。客户端的数据包应在 FORWARD 链上被阻止。类似这样:iptables -I FORWARD -d 151.101.56.193 -j DROP。