Router1은 다른 라우터(2)에 대한 게이트웨이입니다. Router1은 Router2가 연결된 10.0.0.1/8 LAN 네트워크를 설정했습니다. 10.0.0.1은 분명히 LAN의 브리지 IP 주소이고 router2에 할당된 게이트웨이 IP입니다.
Router1에는 router2에서 10.0.0.1이 아닌 다른 대상(router1 ip 자체..)으로의 모든 시도를 성공적으로 차단하는 다음 규칙이 있습니다.하지만 불행하게도 router2가 10.0.0.1을 게이트웨이로 사용하는 경우에만 해당됩니다..
iptables -t raw -I PREROUTING ! -d 10.0.0.1 -j DROP
문제는: router2의 게이트웨이를 10.0.0.1에서 10.22.22.1로 변경하고 dhcp를 사용하여 IP 주소를 얻거나 수동으로 10.22.22.22/24를 설정하는 경우(예를 들어) - router2는 router1에서 인터넷에 액세스할 수 있습니다! ? 위의 규칙이 매우 명확하기 때문에 이것은 나에게 이상합니다.
인터넷에서 router2를 차단하고 게이트웨이 10.0.0.1/8에 대한 액세스만 허용하려면 어떤 규칙을 적용해야 합니까? (LAN에는 반드시 /8 네트워크가 필요하며 원시 테이블 명령만 필요합니다.)
답변1
다른 10.0.0.0/8 네트워크와 브리지된 동시 10.0.0.0/8 네트워크가 있는 것으로 나타났습니다. 따라서 실제로 드롭이 발생하면 다른 네트워크에서 패킷을 가져오고 라우터는 이를 제어할 수 없습니다.