我想更新我的防火墙,所以我想创建自己的链,阻止互联网访问但继续访问 LAN 网络。
我怎样才能做到这一点?
答案1
假设您有多少个接口,您可以使用以下方法阻止除往返于您的 LAN 网络地址子网的流量之外的所有流量:
iptables -A INPUT -s $NETWORK_ADDRESS/$MASK -j ACCEPT
iptables -A INPUT -s $ANOTHER_NETWORK_ADDRESS/$MASK -j ACCEPT
iptables -A INPUT -j DROP</code>
iptables -A OUTPUT -d $NETWORK_ADDRESS/$MASK -j ACCEPT
iptables -A OUTPUT -d $ANOTHER_NETWORK_ADDRESS/$MASK -j ACCEPT
iptables -A OUTPUT -j DROP
您可以通过输入以下命令找到与您的接口直接连接的网络地址和网络掩码:
ip r l | grep -v "default" | grep "proto kernel" | awk '{print $1}'
用命令提供的命令替换$NETWORK_ADDRESS/$MASK来自的命令。iptablesip r l
假设您可能在 LAN 上有一个 DHCP 服务器,您可能希望允许此特定流量以便从服务器获取 IP 地址。
为了实现这一点,您需要向 IPTABLES 添加更多规则:
iptables -I INPUT 1 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
解释:
您需要接受来自您的网络地址空间的传入和传出流量,然后您可以删除其他所有内容。
-I由于(插入) ,即使 DHCP 客户端的规则在最后执行,它也将被插入到最前面INPUT "1"。这样,您就可以确保从 DHCP 服务器获取 IP 地址。