iptables を使用してトラフィックをブロックできない

iptables を使用してトラフィックをブロックできない

Router1は他のルーター(2)のゲートウェイです。 Router1は、Router2が接続されている10.0.0.1/8 LANネットワークを設定しました。 10.0.0.1は明らかにLANのブリッジIPアドレスであり、router2に割り当てられたゲートウェイIPです。

Router1には、router2から10.0.0.1以外のターゲット(router1 ip自体..)へのすべての試行を正常にブロックする次の規則があります。ただし、残念ながら、router2が10.0.0.1をゲートウェイとして使用している場合にのみ該当します。

iptables -t raw -I PREROUTING ! -d 10.0.0.1 -j DROP

問題は:router2のゲートウェイを10.0.0.1から10.22.22.1に変更し、dhcpを使用してIPアドレスを取得するか、手動で10.22.22.22/24を設定する場合(たとえば) - router2はrouter1からインターネットにアクセスするできます! ?上記のルールは非常に明確なので、これは私にとって奇妙です。

インターネットからrouter2をブロックし、ゲートウェイ10.0.0.1/8へのアクセスのみを許可するには、どのルールを適用する必要がありますか? (LANには必ず/ 8ネットワークが必要で、rawテーブルコマンドのみが必要です。)

答え1

他の10.0.0.0/8ネットワークとブリッジされた同時10.0.0.0/8ネットワークがあることがわかりました。したがって、実際にドロップが発生すると、他のネットワークからパケットを取得し、ルーターはそれを制御できません。

関連情報