iptables - 인터넷을 허용하지만 서브넷을 차단하는 방법은 무엇입니까?

Question 1

10.17.0.0/24서브넷에서 으로의 트래픽을 허용하고 반대 방향으로는 트래픽을 허용하지 않으려는 경우 10.17.15.99이는 조금 더 까다로워집니다 . 문제는 10.17.15.99에서 들어오는 트래픽에 응답할 때 10.17.0.0/24이를 허용해야 한다는 것입니다.

iptables 상태 추적을 통해 이 문제를 해결할 수 있습니다. 아이디어는 새로운 연결이 상자에서 아웃바운드로 나가는 것을 방지하고 인바운드로 들어오는 것을 허용하는 것입니다. 먼저 다음 내용을 읽어보는 것이 좋습니다.http://www.iptables.info/en/connection-state.html#USERLANDSTATES

따라서 다음 규칙이 이를 처리해야 합니다.

iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP

10.17.15.99위의 규칙은 해당 상자의 트래픽을 처리하는 게이트웨이/라우터 에 배치되어야 합니다 . 유일한 다른 옵션은 상자 자체에 필터를 놓는 것입니다. 이 경우 FORWARD로 변경 OUTPUT.

이 state모듈은 UDP도 지원하므로 TCP뿐만 아니라 UDP에서도 작동해야 합니다.

Answer

10.17.0.0/24서브넷에서 으로의 트래픽을 허용하고 반대 방향으로는 트래픽을 허용하지 않으려는 경우 10.17.15.99이는 조금 더 까다로워집니다 . 문제는 10.17.15.99에서 들어오는 트래픽에 응답할 때 10.17.0.0/24이를 허용해야 한다는 것입니다.

iptables 상태 추적을 통해 이 문제를 해결할 수 있습니다. 아이디어는 새로운 연결이 상자에서 아웃바운드로 나가는 것을 방지하고 인바운드로 들어오는 것을 허용하는 것입니다. 먼저 다음 내용을 읽어보는 것이 좋습니다.http://www.iptables.info/en/connection-state.html#USERLANDSTATES

따라서 다음 규칙이 이를 처리해야 합니다.

iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP

10.17.15.99위의 규칙은 해당 상자의 트래픽을 처리하는 게이트웨이/라우터 에 배치되어야 합니다 . 유일한 다른 옵션은 상자 자체에 필터를 놓는 것입니다. 이 경우 FORWARD로 변경 OUTPUT.

이 state모듈은 UDP도 지원하므로 TCP뿐만 아니라 UDP에서도 작동해야 합니다.

Question 2

규칙 은 iptables ... DROP괜찮아 보이지만 지정한 서브넷이 액세스를 차단하려는 서브넷이 아닌가요?

더 자세한 도움이 필요하면 네트워크를 더 잘 설명해야 합니다.

Answer

규칙 은 iptables ... DROP괜찮아 보이지만 지정한 서브넷이 액세스를 차단하려는 서브넷이 아닌가요?

더 자세한 도움이 필요하면 네트워크를 더 잘 설명해야 합니다.

iptables - 인터넷을 허용하지만 서브넷을 차단하는 방법은 무엇입니까?

답변1

답변2

관련 정보