主页 / server / 问题 / 505597
Accepted
Jarmund
Asked: 2013-05-08 02:51:00 +0800 CST

/24 异常的 /16 子网的 iptables

  • 772

简单地说,我想使用这些规则:

iptables -I FORWARD -i br0.105 -d 192.168.0.0/16 -j DROP
iptables -I FORWARD -s 192.168.0.0/16 -i br0.105 -j DROP

但 192.168.99.0/24 子网除外。

有没有办法在上面的行中指定它?-j accept我不希望为-subnet添加异常规则.99,因为还有其他规则引用该特定子网。

iptables

3 个回答

  1. Best Answer

    使用新链条。有多种方法可以做到这一点,我的偏好是这样的:

    iptables -N DROP_BAD_HOSTS
iptables -A DROP_BAD_HOSTS -s 192.168.99.0/24 -j RETURN
iptables -A DROP_BAD_HOSTS -i br0.105 -d 192.168.0.0/16 -j DROP
iptables -A DROP_BAD_HOSTS -i br0.105 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -j DROP_BAD_HOSTS

    请注意,如果源是您要排除的 /24,则第一条规则执行 RETURN。

    另一种方法是这样的,但不太灵活,因为您以后不能添加另一个范围来排除:

    iptables -N DROP_BAD_HOSTS
iptables -A DROP_BAD_HOSTS -i br0.105 -d 192.168.0.0/16 -j DROP
iptables -A DROP_BAD_HOSTS -s 192.168.0.0/16 -i br0.105 -j DROP
iptables -A FORWARD ! -s 192.168.99.0/24 -j DROP_BAD_HOSTS
    • 3

  2. 因为还有其他规则也适用

    其他规则是什么?申请.99子网还是申请192.168.0.0/16?

    如果它只是申请.99 子网,你只需要将它向上移动,在这两个规则之上。

    • 1

  3. 创建一个新链:

    iptables -N subnet1

    将异常网络指向新链:

    iptables -I FORWARD -i br0.105 -d 192.168.99.0/24 -j subnet1

    对该链中的流量应用其他规则:

    iptables -I subnet1 ... -j DROP/ACCEPT
    • 1

相关问题