查看:1642|回复：3
某台局域网电脑，外网ip是a1.b1.c1.d1 ,内网ip是a2.b2.c2.d2 ，有个server ip 在外部网络，不是局域网内。
现在，我如何写一条iptables命令，封锁所有从a1.b1.c1.d1来的，内网ip是a2.b2.c2.d2发出的访问？
中级工程师
假设内网口为eth1,外网口为eth0
1、两个条件是与的关系
iptables -t filter -A INPUT -i eth1 -s a2.b2.c2.d2 -d&&a1.b1.c1.d1 -j DROP
2、两个条件是或的关系
iptables -t filter -A INPUT -i eth1 -s a2.b2.c2.d2&&-j DROP
iptables -t filter -A INPUT -i eth0 -s a1.b1.c1.d1&&-j DROP
我猜LZ是为了禁止内网的某个用户访问外网的某个IP，SO，那就是第一个
一个局域网的所有用户都使用a.b.c.d来上外网，这个局域网内有个机器： a1.b1.c1.d1&&a2.b2.c2.d2 ,某个网站(我可以登录这个网站的后台)不想让这个局域网内的&&a2.b2.c2.d2 用户登录，这个不能做到吗？
所有用户都是通过这台机器上网嘛，对不对
你的a b c d什么呀，能说清楚吗
比如外网100.100.100.100 内部1.1.1.1,客户端1.1.1.100，网站8.8.8.8
iptables -A OUTPUT -s 1.1.1.100 -d 8.8.8.8 -j DROP封单个IP的命令：iptables -I INPUT -s 124.115.0.199 -j DROP
封IP段的命令：iptables -I INPUT -s 124.115.0.0/16 -j DROP
封整个段的命令：iptables -I INPUT -s 194.42.0.0/8 -j DROP
封几个段的命令：iptables -I INPUT -s 61.37.80.0/24 -j DROP
只封80端口：iptables -I INPUT -p tcp –dport 80 -s 124.115.0.0/24 -j DROP
解封：iptables -F
清空：iptables -D INPUT 数字
列出 INPUT链 所有的规则：iptables -L INPUT --line-numbers
删除某条规则，其中5代表序号（序号可用上面的命令查看）：iptables -D INPUT 5
开放指定的端口：iptables -A INPUT -p tcp --dport 80 -j ACCEPT
禁止指定的端口：iptables -A INPUT -p tcp --dport 80 -j DROP
拒绝所有的端口：iptables -A INPUT -j DROP
以上都是针对INPUT链的操作，即是外面来访问本机的方向，配置完之后 需要保存，否则iptables 重启之后以上设置就失效
service iptables save
iptables 对应的配置文件 &/etc/sysconfig/iptables
注意：iptables的规则匹配顺序上从上到下的，也就是说如果上下两条规则有冲突时，将会以上面的规则为准。
阅读(...) 评论()他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)匿名用户不能发表回复！|博客访问： 723637
博文数量： 180
博客积分： 10434
博客等级： 上将
技术积分： 1961
注册时间：
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
分类： LINUX 19:46:22
论坛上曾经有人问过这个问题，当时也没有很好的解决办法，今天看书看到了，整理一下。环境：PC做的代理服务器（RHEL5.3&&& 2.6.18-128.el5&&& iptables-1.3.5&&& 192.168.0.0/24）要求：代理服务器上限制192.168.0.3--192.168.0.60不能上网。（这里的脚本没有写全，只是实现限制上网这块）方法一：/sbin/iptables -P FORWARD -j ACCEPT/sbin/iptables -A FORWARD -s 192.168.0.3 -j DROP/sbin/iptables -A FORWARD -s 192.168.0.4 -j DROP................................................/sbin/iptables -A FORWARD -s 192.168.0.59 -j DROP/sbin/iptables -A FORWARD -s 192.168.0.60 -j DROP逐条手动写入，费时费力！
方法二：/sbin/iptables -P FORWARD -j ACCEPT/sbin/iptables -A FORWARD -s 192.168.0.1 -j ACCEPT/sbin/iptables -A FORWARD -s 192.168.0.2 -j ACCEPT/sbin/iptables -A FORWARD -s 192.168.0.61 -j ACCEPT/sbin/iptables -A FORWARD -s 192.168.0.62 -j ACCEPT/sbin/iptables -A FORWARD -s 192.168.0.1/26 -j DROP192.168.0.1/26，可用IP为192.168.0.1--192.168.0.62这种方法比方法1要好很多了。
方法三：/sbin/iptables -P FORWARD -j ACCEPT/sbin/iptables -A FORWARD -m iprange --src-range 192.168.0.3-192.168.0.61 -j DROP
阅读(2476) | 评论(3) | 转发(0) |
给主人留下些什么吧！~~
你也不检查下写的有错误没，就贴啊！
-m iprange
我的CentOS5.*、RHEL5.*不需要打补丁，默认是支持的。
方法三 -m iprange 好像要打netfilter补丁吧？
请登录后评论。}