RError.com

RError.com Logo RError.com Logo

RError.com Navigation

  • 主页

Mobile menu

Close
  • 主页
  • 系统&网络
    • 热门问题
    • 最新问题
    • 标签
  • Ubuntu
    • 热门问题
    • 最新问题
    • 标签
  • 帮助
主页 / 问题 / 587708
Accepted
mocart
mocart
Asked:2020-11-07 12:35:09 +0000 UTC2020-11-07 12:35:09 +0000 UTC 2020-11-07 12:35:09 +0000 UTC

仅开放对特定 iptables 资源的访问

  • 772

有一个可以上网的网关(192.168.0.1 eth1),有一个可以上网的网络192.168.0.0/24

#Разрешаем всем доступ в Интернет
sudo iptables -v -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

在某个时间(14:00)我阻止所有人访问互联网,除了某些用户:

#очищаем все правила iptables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -F POSTROUTING
#разрешаем 10-11-12 
sudo iptables -v -t nat -A POSTROUTING -s 192.168.0.10/32 -j MASQUERADE
sudo iptables -v -t nat -A POSTROUTING -s 192.168.0.11/32 -j MASQUERADE
sudo iptables -v -t nat -A POSTROUTING -s 192.168.0.12/32 -j MASQUERADE

在上面定义的地址 192.168.0 处。在 10/11/12 等日,整个 Internet 正常,其余被阻止的都没有。如何只打开对特定资源 ( rambler.ru ) 的访问,其他用户的 Internet 被阻止?试图这样做:

iptables -A OUTPUT -d rambler.ru  -j ACCEPT
iptables -A INPUT -d rambler.ru  -j ACCEPT
iptables -A FORWARD -d rambler.ru  -j ACCEPT

iptables -L -n -v 的输出:

Chain INPUT (policy ACCEPT 19 packets, 1675 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.8
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.9
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.10
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.11

Chain FORWARD (policy ACCEPT 220 packets, 121K bytes)
 pkts bytes target     prot opt in     out     source               destination
    9   512 ACCEPT     all  --  *      *       192.168.0.0/24       10.0.0.0/8
    6   246 ACCEPT     all  --  *      *       10.0.0.0/8           192.168.0.0/24
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.9
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.10
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.11
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.8

Chain OUTPUT (policy ACCEPT 18 packets, 2340 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.8
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.9
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.10
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            81.19.82.11

iptables -nvL -t nat 的输出:

root@gate:~# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 1706 packets, 197K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 211 packets, 20402 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 180 packets, 10525 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 589 packets, 39909 bytes)
 pkts bytes target     prot opt in     out     source               destination
    8   416 MASQUERADE  all  --  *      *       192.168.0.11        0.0.0.0/0
    0     0 MASQUERADE  all  --  *      *       192.168.0.12         0.0.0.0/0
    6   312 MASQUERADE  all  --  *      *       192.168.0.13         0.0.0.0/0

但是,被阻止的客户端无权访问此资源。

iptables
  • 1 1 个回答
  • 10 Views

1 个回答

  • Voted
  1. Best Answer
    nobody
    2020-11-07T13:12:18Z2020-11-07T13:12:18Z

    对于“报告”:您的情况的一种简单方法:

    sudo iptables -v -t nat -A POSTROUTING -s 192.168.0.0/24 -d 81.19.82.8 -j MASQUERADE
    sudo iptables -v -t nat -A POSTROUTING -s 192.168.0.0/24 -d 81.19.82.9 -j MASQUERADE
    sudo iptables -v -t nat -A POSTROUTING -s 192.168.0.0/24 -d 81.19.82.10 -j MASQUERADE
    sudo iptables -v -t nat -A POSTROUTING -s 192.168.0.0/24 -d 81.19.82.11 -j MASQUERADE
    

    或者创建一个新表:

    :ALLOW2NET - DROP [0:0]
    
    -A ALLOW2NET -d 81.19.82.9 -j MASQUERADE
    -A ALLOW2NET -d 81.19.82.8 -j MASQUERADE
    -A ALLOW2NET -d 81.19.82.11 -j MASQUERADE
    -A ALLOW2NET -d 81.19.82.10 -j MASQUERADE
    

    并写一个规则 -A POSTROUTING -s 192.168.0.0/24 -j ALLOW2NET

    或者使用模块ipset

    首先安装ipset;

    创建一个集合 create allow2net hash:net

    在那里添加地址

    ipset add allow2net 81.19.82.9/32
    ipset add allow2net 81.19.82.8/32
    ipset add allow2net 81.19.82.10/32
    ipset add allow2net 81.19.82.11/32
    

    写规则 -A PREROUTING -s 192.168.0.0/24 -m set --match-set allow2net dst -j MASQUERADE

    最后 2 个选项假设您有一个文件,其中包含保存的 iptables 规则,这些规则会在机器启动时加载。ipset 选项还需要一个内核模块xt_set (ipt_set)。

    • 1

相关问题

Sidebar

Stats

  • 问题 10021
  • Answers 30001
  • 最佳答案 8000
  • 用户 6900
  • 常问
  • 回答
  • Marko Smith

    如何停止编写糟糕的代码?

    • 3 个回答
  • Marko Smith

    onCreateView 方法重构

    • 1 个回答
  • Marko Smith

    通用还是非通用

    • 2 个回答
  • Marko Smith

    如何访问 jQuery 中的列

    • 1 个回答
  • Marko Smith

    *.tga 文件的组重命名(3620 个)

    • 1 个回答
  • Marko Smith

    内存分配列表C#

    • 1 个回答
  • Marko Smith

    常规赛适度贪婪

    • 1 个回答
  • Marko Smith

    如何制作自己的自动完成/自动更正?

    • 1 个回答
  • Marko Smith

    选择斐波那契数列

    • 2 个回答
  • Marko Smith

    所有 API 版本中的通用权限代码

    • 2 个回答
  • Martin Hope
    jfs *(星号)和 ** 双星号在 Python 中是什么意思? 2020-11-23 05:07:40 +0000 UTC
  • Martin Hope
    hwak 哪个孩子调用了父母的静态方法?还是不可能完成的任务? 2020-11-18 16:30:55 +0000 UTC
  • Martin Hope
    Qwertiy 并变成3个无穷大 2020-11-06 07:15:57 +0000 UTC
  • Martin Hope
    koks_rs 什么是样板代码? 2020-10-27 15:43:19 +0000 UTC
  • Martin Hope
    user207618 Codegolf——组合选择算法的实现 2020-10-23 18:46:29 +0000 UTC
  • Martin Hope
    Sirop4ik 向 git 提交发布的正确方法是什么? 2020-10-05 00:02:00 +0000 UTC
  • Martin Hope
    Arch ArrayList 与 LinkedList 的区别? 2020-09-20 02:42:49 +0000 UTC
  • Martin Hope
    iluxa1810 哪个更正确使用:if () 或 try-catch? 2020-08-23 18:56:13 +0000 UTC
  • Martin Hope
    faoxis 为什么在这么多示例中函数都称为 foo? 2020-08-15 04:42:49 +0000 UTC
  • Martin Hope
    Pavel Mayorov 如何从事件或回调函数中返回值?或者至少等他们完成。 2020-08-11 16:49:28 +0000 UTC

热门标签

javascript python java php c# c++ html android jquery mysql

Explore

  • 主页
  • 问题
    • 热门问题
    • 最新问题
  • 标签
  • 帮助

Footer

RError.com

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

帮助

© 2023 RError.com All Rights Reserve   沪ICP备12040472号-5