tonytz Asked: 2013-07-16 22:52:08 +0800 CST2013-07-16 22:52:08 +0800 CST 2013-07-16 22:52:08 +0800 CST 路由完成后有什么方法可以过滤数据包(例如通过 iptables)? 772 我想在它到达 POSTROUTING 链之后丢弃某些发往 ip_address 的数据包。但是,对于 iptables,“nat”表不能用于过滤,因此以下内容不起作用: iptables -t nat -A POSTROUTING -d ip_address -j DROP 那么有什么方法可以做到这一点吗?如果 iptables 做不到,还有其他选择吗?请指教。谢谢你。 iptables 1 个回答 Voted Best Answer Falcon Momot 2013-07-16T23:03:35+08:002013-07-16T23:03:35+08:00 路由在后路由链执行之前立即完成(因此得名)。 我认为,你想要完成任何你想要完成的任务的方式不是正确的方式,因为它是不可能的。但是,任何合理的过滤谓词通常在后路由之前都存在。您应该能够应用相同的过滤条件,否则会导致您想要过滤的后路由更改为转发或输出规则。 请参阅此图了解数据包如何通过 iptables 流动: 这个优秀的图表有时仍然得到维护,来自http://xkr47.outerspace.dyndns.org/netfilter/packet_flow/。
路由在后路由链执行之前立即完成(因此得名)。
我认为,你想要完成任何你想要完成的任务的方式不是正确的方式,因为它是不可能的。但是,任何合理的过滤谓词通常在后路由之前都存在。您应该能够应用相同的过滤条件,否则会导致您想要过滤的后路由更改为转发或输出规则。
请参阅此图了解数据包如何通过 iptables 流动:
这个优秀的图表有时仍然得到维护,来自http://xkr47.outerspace.dyndns.org/netfilter/packet_flow/。