iptables 如何控制單項(xiàng)訪問

shuchi91

網(wǎng)絡(luò)環(huán)境如下：\r\n\r\nA網(wǎng)絡(luò) ===》 B網(wǎng)關(guān) =》B網(wǎng)絡(luò)\r\n\r\n我現(xiàn)在要在B網(wǎng)關(guān)上加iptables 規(guī)則，也就是在forward鏈上加規(guī)則，目的是讓A網(wǎng)絡(luò)的人能訪問B網(wǎng)絡(luò)，但是B網(wǎng)絡(luò)的人不能訪問A網(wǎng)絡(luò)。\r\n\r\n我想問下這樣的規(guī)則該怎加？  \r\n\r\n-s A-network -d B-network -j accept//源為A 目的為B的全部放行。\r\n-P forward DROP//默認(rèn)全部DROP\r\n\r\n?\r\n\r\n這樣好像不行，我有點(diǎn)被源地址與目的地址搞暈了，因?yàn)橐粋�(gè)包都是有個(gè)來回的��？不存在源于目的之說啊。

zhoutao0712

最好是 -m state --state NEW ，比-p --tcp-flags SYN 好

hunhunsheng

我來試試看，  A網(wǎng)絡(luò) ==》 eth1=網(wǎng)關(guān)=eth0   ==》B網(wǎng)絡(luò)\r\n\r\n(假設(shè)\r\n    A網(wǎng)絡(luò)：192.168.10.0/24  \r\n      B網(wǎng)絡(luò)：192.168.20.0/24 )\r\n\r\n如果僅是在原有規(guī)則上添加forward規(guī)則的話，見下面\r\n#FORWARD rule\r\niptables -A FORWARD -o eth1  -s 192.168.20.0/24 -j DROP\r\niptables -A FORWARD -i  eth0  -s 192.168.10.0/24 -j ACCEPT\r\n\r\n\r\n如果是重建規(guī)則，清空所有規(guī)則，然后一條NAT規(guī)則命令即可\r\n#NAT rule\r\niptables -t nat -A POSTROUTING -i eth0 -j MASQUERADE