IPTABLESチェーン制限

IPTABLESチェーン制限

ネットワークカードが2枚あります。

eth0:- 172.16.91.70 (External Zone)
eth1:- 172.16.85.70 (Internal Zone)

外部ネットワークにアクセスできる内部領域にクライアントがあります。 Pingが正常で、外部ネットワークに接続できます。では、内部領域へのアクセスを制限したいと思います。外部ゾーンは他のネットワーク172.16.81.0に接続され、172.16.79.0に接続されます。

これで、内部ゾーンから172.16.91.0ネットワーク全体にアクセスし、81.0ネットワークからパケットをドロップし、79.0ネットワークにアクセスできるようになります。しかし、イカプロキシサーバーが81.0ネットワークにあるので、インターネットにアクセスすることも望ましくありません。

答え1

これらのネットワークのルーターとして機能すると、FORWARDチェーンに表示されます。まず、受け入れルールを作成してから、残りのルールを拒否します。

 iptables -I FORWARD -s 172.16.85.0/24 -d 172.16.91.0/24 -j ACCEPT -m comment --comment "allow to 172.16.91.0/24"
 iptables -I FORWARD -s 172.16.85.0/24 -d 172.16.79.0/24 -j ACCEPT -m comment --comment "allow to 172.16.79.0/24"
 iptables -I FORWARD -s 172.16.81.0/24 -d 172.16.85.0/24 -j DENY -m comment --comment "Nothing from 172.16.81.0/24"

私はあなたの規則に明確に従い、あなたが言及した場所に入ったり出たりすることは許可されていません。可能双方向をブロックしたいのですが(ネットワーク上のトラフィックをブロックすると、送信されたパケットがファイアウォールを介して戻り経路から破棄されることを意味します)。

関連情報