当前位置: 技术问答>linux和unix
急用iptables阻断IP的问题
来源: 互联网 发布时间:2016-09-06
本文导语: 我要实现这样的一个功能:内网的IP在192.168.18.30-192.168.18.35 范围内的机器不能访问外网的116.255.159.105-116.255.159.107这个IP段的机器,我使用了下面的IPTABLES语句,执行后还是一样可以拼通外网116.255.159.105-116.255.159.107的IP.不...
我要实现这样的一个功能:内网的IP在192.168.18.30-192.168.18.35 范围内的机器不能访问外网的116.255.159.105-116.255.159.107这个IP段的机器,我使用了下面的IPTABLES语句,执行后还是一样可以拼通外网116.255.159.105-116.255.159.107的IP.不知道错在哪里.请大家帮忙.
iptables -I INPUT -p TCP -m multiport --source-ports 0:65535 -m multiport --destination-ports 0:65535 -m iprange --src-range 192.168.18.30-192.168.18.35 --dst-range 116.255.159.105-116.255.159.107 -m time --timestart 00:00 --timestop 23:59:59 -j DROP
iptables -I INPUT -p TCP -m multiport --source-ports 0:65535 -m multiport --destination-ports 0:65535 -m iprange --src-range 192.168.18.30-192.168.18.35 --dst-range 116.255.159.105-116.255.159.107 -m time --timestart 00:00 --timestop 23:59:59 -j DROP
|
你不是全部禁止么 那还有必要指定端口范围和时间范围吗?!
你要明白的是ping使用的icmp协议 并不是tcp和udp
你只是把tcp的连接禁止了 ping当然还是通的 同样 要是udp的连接 一样是OK的
你要明白的是ping使用的icmp协议 并不是tcp和udp
你只是把tcp的连接禁止了 ping当然还是通的 同样 要是udp的连接 一样是OK的
|
-m time --timestart 00:00 --timestop 23:59:59这个条件,完全多余
|
学习
|
一楼说得对,你先用netstat试试再说
|
-m multiport --source-ports 0:65535 -m multiport --destination-ports 0:65535 《- 完全多余。
-m time --timestart 00:00 --timestop 23:59:59 《- 也完全多余。
-p TCP 《- 是要阻断所有协议,不仅仅是TCP,应该用 -p all
-I INPUT 《- 既然是数据包是路由转发到外网的,就不会经过INPUT链,应该用 -I FORWARD
综上:
iptables -A FORWARD -p all -m iprange --src-range 192.168.18.30-192.168.18.35 --dst-range 116.255.159.105-116.255.159.107 -j DROP
-m time --timestart 00:00 --timestop 23:59:59 《- 也完全多余。
-p TCP 《- 是要阻断所有协议,不仅仅是TCP,应该用 -p all
-I INPUT 《- 既然是数据包是路由转发到外网的,就不会经过INPUT链,应该用 -I FORWARD
综上:
iptables -A FORWARD -p all -m iprange --src-range 192.168.18.30-192.168.18.35 --dst-range 116.255.159.105-116.255.159.107 -j DROP
|
对这些一直不是很懂,学习了
|
iptables -I INPUT -m iprange -src --src-range 192.168.18.30-192.168.18.35 --dst-range 116.255.159.105-116.255.159.107 -j DROP
配置之后,使用iptables -L查看命令是否配置进去,以及新配置的命令所在的次序是否正确。
配置之后,使用iptables -L查看命令是否配置进去,以及新配置的命令所在的次序是否正确。
|
1)既然是对应IP地址段的,个人认为在配置中写入端口是多余的;
2)在配置前建议使用iptables -L命令查看一下当前的设置。以免将要进行的设置与以前的配置冲突。我一般的做法是先使用命令iptables -F把所有配置清空,然后再配置相应的规则;
3)配置完后,再使用iptables -L查看配置是否成功。一定要注意,输入规则的先后顺序对于防火墙的最终效果是有直接影响的。因此一定要注意配置规则输入的顺序。
2)在配置前建议使用iptables -L命令查看一下当前的设置。以免将要进行的设置与以前的配置冲突。我一般的做法是先使用命令iptables -F把所有配置清空,然后再配置相应的规则;
3)配置完后,再使用iptables -L查看配置是否成功。一定要注意,输入规则的先后顺序对于防火墙的最终效果是有直接影响的。因此一定要注意配置规则输入的顺序。
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。