我的网络地址是192.168.5.0
。我的主机是192.168.5.1
,我的客户端机器是192.168.5.2
。如何让我的客户端通过终端 ping 互联网,但限制它使用端口80
或浏览器?以下是我的/etc/shorewall/policy
文件:
SOURCE DEST POLICY LOGLEVEL RATE CONNLIMIT
loc net ACCEPT
net all DROP info
/etc/shorewall/rules
文件:
DROP loc fw tcp 80
/etc/shorewall/interfaces
文件 :
net eth0
loc eth1
主机接口:
eth0 - Connection to the internet
eth1 - Local Network Connection
如果还需要提供更多详细信息,请告诉我。使用上述配置,我的客户端无法 ping 任何互联网网站,同时无法从浏览器访问任何网站。
答案1
在规则,当您使用:
DROP loc fw tcp 80
你说的是:禁止本地网络区域(loc) 来自区域 fw 上的访问端口 TCP/80。但您的配置显示没有区域名为防火墙(可能您指的是 $FW,但它代表防火墙机器本身)。您可以尝试以下操作:
Ping(ACCEPT) loc net
HTTP(DROP) loc net
HTTPS(DROP) loc net
据我所知,shorewall 在每个链的末尾添加了一个 DROP ALL 规则*,因此可以删除用于删除 HTTP 和 HTTPS 的两个规则(因为未明确允许的所有内容都被最后的 DROP ALL 规则阻止)。
*此行为定义在政策文件。