我正在运行Debian和iptables。我正在创建一个proxy服务器,并希望DROP数据包以特定的源 IP 地址进入,但使用嗅探它们pcap。然后允许手动将数据包从具有相同源 IP 地址的服务器发送出去 - 同时NAT使用公共 IP 嗅探它们。
我尝试过这个:
iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 79.43.211.10 --persistent
看起来这DROP并没有被尊重,并且packets是通过服务器全部发送的。
我希望允许数据包进入服务器,然后丢弃。但我应该能够手动从服务器“内部”发送数据包。
更新
删除FORWARD似乎没问题。
iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 79.43.211.10 --persistent
看起来好像packets没有出服务器,但这并不是因为我的DROP规则,iptables -nvL显示:
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 192.168.0.0/24 0.0.0.0/0
并且用它scapy来创建一个ICMP没有得到NAT公共IP地址的?