Networking

僅在 eth1 中阻止 ICMP 傳出請求

  • October 28, 2012

我正在使用 iptables 創建一個 NAT:

電腦A:eth0(dhcp)+ eth1(靜態ip 192.168.0.1 - 網關) 電腦B:eth1(靜態ip 192.168.0.2,使用電腦A作為網關)

我知道如何阻止 ICMP 傳出請求(-A OUTPUT -p icmp –icmp-type echo-r​​equest -j DROP),但這會阻止來自電腦 A 的 ICMP 請求,但不會阻止來自電腦 B 的 ICMP 請求(實際上,僅適用於電腦A - 電腦 B 可以繼續執行這些操作)。

我嘗試使用相同的命令,但添加了 -o eth1,但這根本不會阻塞。任何的想法?

您需要將此添加到 FORWARD 表中。( -A FORWARD)。

  • INPUT用於到達主機的數據包(主機是目標的數據包,因此在您的情況下,數據包的目的地是主機 A)
  • OUTPUT用於從主機發出的數據包(源自主機 A,去往其他地方)
  • FORWARD用於為其他主機(在您的情況下為 B)轉發到另一台主機的數據包(無論您在 ping 什麼,在網際網路的某個地方)。由於這些數據包只是為其他人轉發的,FORWARD因此此處使用表。

引用自:https://serverfault.com/questions/443202