iptables - インターネットを許可しますが、サブネットをブロックする方法は？

Question

10.17.0.0/24サブネットからのトラフィックを許可し、反対方向にトラフィックを許可したくない場合、10.17.15.99これは少し難しくなります。問題は、10.17.15.99着信トラフィックに応答するときに10.17.0.0/24それを許可する必要があることです。

iptables 状態追跡により、この問題を解決できます。アイデアは、新しい接続がボックスからアウトバウンドに出ることを防ぎ、インバウンドに入ることを許可することです。まず、次の内容をお読みください。http://www.iptables.info/en/connection-state.html#USERLANDSTATES

したがって、次の規則がこれを処理する必要があります。

iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP

10.17.15.99上記の規則は、そのボックスのトラフィックを処理するゲートウェイ/ルーターに配置する必要があります。唯一の他のオプションは、ボックス自体にフィルタを配置することです。この場合FORWARDに変更OUTPUT。

このstateモジュールはUDPもサポートしているため、TCPだけでなくUDPでも機能する必要があります。

Answer 1

10.17.0.0/24サブネットからのトラフィックを許可し、反対方向にトラフィックを許可したくない場合、10.17.15.99これは少し難しくなります。問題は、10.17.15.99着信トラフィックに応答するときに10.17.0.0/24それを許可する必要があることです。

iptables 状態追跡により、この問題を解決できます。アイデアは、新しい接続がボックスからアウトバウンドに出ることを防ぎ、インバウンドに入ることを許可することです。まず、次の内容をお読みください。http://www.iptables.info/en/connection-state.html#USERLANDSTATES

したがって、次の規則がこれを処理する必要があります。

iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP

10.17.15.99上記の規則は、そのボックスのトラフィックを処理するゲートウェイ/ルーターに配置する必要があります。唯一の他のオプションは、ボックス自体にフィルタを配置することです。この場合FORWARDに変更OUTPUT。

このstateモジュールはUDPもサポートしているため、TCPだけでなくUDPでも機能する必要があります。

iptables - インターネットを許可しますが、サブネットをブロックする方法は？

ベストアンサー1

おすすめ記事