Router1は他のルーター(2)のゲートウェイです。 Router1は、Router2が接続されている10.0.0.1/8 LANネットワークを設定しました。 10.0.0.1は明らかにLANのブリッジIPアドレスであり、router2に割り当てられたゲートウェイIPです。
Router1には、router2から10.0.0.1以外のターゲット(router1 ip自体..)へのすべての試行を正常にブロックする次の規則があります。ただし、残念ながら、router2が10.0.0.1をゲートウェイとして使用している場合にのみ該当します。。
iptables -t raw -I PREROUTING ! -d 10.0.0.1 -j DROP
問題は:router2のゲートウェイを10.0.0.1から10.22.22.1に変更し、dhcpを使用してIPアドレスを取得するか、手動で10.22.22.22/24を設定する場合(たとえば) - router2はrouter1からインターネットにアクセスするできます! ?上記のルールは非常に明確なので、これは私にとって奇妙です。
インターネットからrouter2をブロックし、ゲートウェイ10.0.0.1/8へのアクセスのみを許可するには、どのルールを適用する必要がありますか? (LANには必ず/ 8ネットワークが必要で、rawテーブルコマンドのみが必要です。)
答え1
他の10.0.0.0/8ネットワークとブリッジされた同時10.0.0.0/8ネットワークがあることがわかりました。したがって、実際にドロップが発生すると、他のネットワークからパケットを取得し、ルーターはそれを制御できません。