iptables - 丢弃输入的数据包,但允许传出

iptables - 丢弃输入的数据包,但允许传出

我正在运行Debianiptables。我正在创建一个proxy服务器,并希望DROP数据包以特定的源 IP 地址进入,但使用嗅探它们pcap。然后允许手动将数据包从具有相同源 IP 地址的服务器发送出去 - 同时NAT使用公共 IP 嗅探它们。

我尝试过这个:

iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 79.43.211.10 --persistent

看起来这DROP并没有被尊重,并且packets是通过服务器全部发送的。

我希望允许数据包进入服务器,然后丢弃。但我应该能够手动从服务器“内部”发送数据包。

更新

删除FORWARD似乎没问题。

iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 79.43.211.10 --persistent

看起来好像packets没有出服务器,但这并不是因为我的DROP规则,iptables -nvL显示:

pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       192.168.0.0/24        0.0.0.0/0

并且用它scapy来创建一个ICMP没有得到NAT公共IP地址的?

相关内容