web-dev-qa-db-ja.com

特定のリモートIPアドレスのIP転送をブロックする

私はubuntuをいくつかのホストのゲートウェイとして使用しています。特定のIPアドレスまたは特定のIP範囲のIP転送をブロックする方法をアドバイスする必要がありますか?

Ufw拒否ルールを介してipをブロックしようとしましたが、ip転送設定はルールを介して変更できず、グローバルにのみ適用できるようです(/ etc/default/ufwのDEFAULT_FORWARD_POLICY)

また、iptablesルールを直接変更しようとしました:

iptables -A FORWARD -j REJECT --reject-with icmp-Host-prohibited

このコマンドの後、ip forwarding reject ruleはすべてのリモートホストからの転送要求をブロックします。

更新:現在のiptable出力:

root@mtu90:/home/pi# iptables -L -n -v
Chain INPUT (policy ACCEPT 5671 packets, 927K bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 DROP       all  --  *      *       0.0.0.0/0            172.16.1.77 
  192 15408 DROP       all  --  *      *       172.16.1.77          0.0.0.0/0   

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
  895  136K            all  --  *      *       0.0.0.0/0            0.0.0.0/0   
  518 30999 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-Host-prohibited

Chain OUTPUT (policy ACCEPT 119 packets, 14872 bytes)
 pkts bytes target     prot opt in     out     source               destination
linuxnetworkingiptablesfirewallrouting
3
user277820

あなたは問題を考えすぎていると思います。好きなようにiptablesを使用して転送要求をブロックするのは簡単です。

もちろん、デフォルト設定があります-デフォルトで転送を許可または拒否できます-現在の設定は許可されています。したがって、特定のホストを削除するには、単にiptablesルールを追加します

iptables -I転送-d sou.rce.ip.add -jドロップ

フォワードチェーンのすべてを拒否するルールを削除することを忘れないでください。

4
davidgo