Shorewall - 允许客户端 Ping Internet 但不允许使用浏览器或端口 80

Shorewall - 允许客户端 Ping Internet 但不允许使用浏览器或端口 80

我的网络地址是192.168.5.0。我的主机是192.168.5.1,我的客户端机器是192.168.5.2。如何让我的客户端通过终端 ping 互联网,但限制它使用端口80或浏览器?以下是我的/etc/shorewall/policy文件:

SOURCE    DEST    POLICY    LOGLEVEL   RATE    CONNLIMIT

loc       net     ACCEPT

net       all     DROP      info

/etc/shorewall/rules文件:

DROP    loc    fw    tcp   80

/etc/shorewall/interfaces文件 :

net   eth0
loc   eth1

主机接口:

eth0 - Connection to the internet
eth1 - Local Network Connection

如果还需要提供更多详细信息,请告诉我。使用上述配置,我的客户端无法 ping 任何互联网网站,同时无法从浏览器访问任何网站。

答案1

规则,当您使用:

DROP    loc    fw    tcp   80

你说的是:禁止本地网络区域(loc) 来自区域 fw 上的访问端口 TCP/80。但您的配置显示没有区域名为防火墙(可能您指的是 $FW,但它代表防火墙机器本身)。您可以尝试以下操作:

Ping(ACCEPT)    loc    net
HTTP(DROP)      loc    net
HTTPS(DROP)     loc    net

据我所知,shorewall 在每个链的末尾添加了一个 DROP ALL 规则*,因此可以删除用于删除 HTTP 和 HTTPS 的两个规则(因为未明确允许的所有内容都被最后的 DROP ALL 规则阻止)。

*此行为定义在政策文件。

相关内容