Две сетевых платы - порт блока на одном из них

Question 1

У меня есть два NICs eno1 (IP: 12.34.56.78) и eno2 (44.55.66.77).

У меня также есть сервис на определенный порт (позволяет, говорят 8888), выполнение.

Я хочу позволить трафик по eno1 к тому сервису, но хотеть отбросить любой пакет к тому порту по eno2.

Я попробовал его следующим iptables правило:

iptables -A INPUT -i eno2 -p tcp --dport 8888 -j DROP

Также с этим (некоторые мои правила имеют это странное ключевое слово мусора в нем):

iptables -A INPUT -i eno2 -p tcp -m tcp --dport 8888 -j garbage

Но тем не менее сервис доступен и по NICs и по их соответствующему дюйм/с.

Просветите меня об этом.

Услуга работает как контейнер докера.

РЕДАКТИРОВАНИЯ для комментариев:

iptables -S содержит:

-P INPUT DROP

Question 2

1-й Подход: укажите целевой IP-адрес

Iptables -I INPUT 1 -p tcp --dport 8888 -d 44.55.66.77 -j DROP

2-й Подход: блокирование всего трафика за исключением того, что одно обозначенное к IP-адресу от 1-го объяснения NIC

iptables -A INPUT -d 12.34.56.78 -p tcp --dport 8888 -j ACCEPT
iptables -A INPUT -p tcp --dport 8888 -j DROP

: пока трафик определяется к тому конкретному IP адресу, не имеет значения, что является интерфейсом, от которого прибывает из.

Stancu Mihai · Answer 1 · 2 December 2019 в 04:49

1-й Подход: укажите целевой IP-адрес

Iptables -I INPUT 1 -p tcp --dport 8888 -d 44.55.66.77 -j DROP

2-й Подход: блокирование всего трафика за исключением того, что одно обозначенное к IP-адресу от 1-го объяснения NIC

iptables -A INPUT -d 12.34.56.78 -p tcp --dport 8888 -j ACCEPT
iptables -A INPUT -p tcp --dport 8888 -j DROP

: пока трафик определяется к тому конкретному IP адресу, не имеет значения, что является интерфейсом, от которого прибывает из.

1 ответ