我正在运行Debian
和iptables
。我正在创建一个proxy
服务器,并希望DROP
数据包以特定的源 IP 地址进入,但使用嗅探它们pcap
。然后允许手动将数据包从具有相同源 IP 地址的服务器发送出去 - 同时NAT
使用公共 IP 嗅探它们。
我尝试过这个:
iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 79.43.211.10 --persistent
看起来这DROP
并没有被尊重,并且packets
是通过服务器全部发送的。
我希望允许数据包进入服务器,然后丢弃。但我应该能够手动从服务器“内部”发送数据包。
更新
删除FORWARD
似乎没问题。
iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 79.43.211.10 --persistent
看起来好像packets
没有出服务器,但这并不是因为我的DROP
规则,iptables -nvL
显示:
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 192.168.0.0/24 0.0.0.0/0
并且用它scapy
来创建一个ICMP
没有得到NAT
公共IP地址的?