我有点坚持使用 iptables 来处理两个以太网端口。
用于 LAN 的 eth0 端口(192.168.1.50 私有 IP)。
eth1 端口通过电缆调制解调器(80.0.xxx.xxx 公共 IP)连接到互联网。
eth0 Link encap:Ethernet HWaddr 00:19:99:C1:86:BB
inet addr:192.168.1.50 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:137532 errors:0 dropped:0 overruns:0 frame:0
TX packets:55658 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:99968969 (95.3 MiB) TX bytes:10403525 (9.9 MiB)
Interrupt:50 Memory:fe700000-fe720000
eth1 Link encap:Ethernet HWaddr 00:19:99:C1:61:3B
inet addr:80.0.xxx.xxx Bcast:255.255.255.255 Mask:255.255.252.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:144558 errors:0 dropped:0 overruns:0 frame:0
TX packets:70347 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:34500131 (32.9 MiB) TX bytes:27893843 (26.6 MiB)
Interrupt:177 Memory:fe600000-fe620000
我想阻止所有传入路由,eth1但只允许端口 21。这样外部 IP 就无法访问我们的 Web 服务器、ftp 服务器等。只允许端口 21 进行 SSH 访问。Ping 也应该工作。
在本地网络 (eth0) 上,任何人都应该能够访问任何内容,但只能阻止本地 ip 的 192.168.1.20 和 192.168.1.30 访问 192.168.1.50 服务器。
如何使用 iptables 完成?
最干净的方法是将 web/ftp 服务器配置为仅在内部接口上侦听。这样,您根本不必担心任何与网络相关的技术。
如果您出于任何原因不能这样做,请应用以下规则:
(顺便说一下,SSH 的默认端口是 22,但我认为您最了解 SSH 的侦听位置。)
简单的:
这会丢弃来自这些主机的所有数据包。如果您也希望在这里允许 ping,请对 icmp 使用类似的规则,就像在 eth1 上一样。