Похоже, что заблокированный интернет-трафик для устройства просачивается в Интернет
У меня есть ящик Ubuntu, которому DHCP назначает статический IP-адрес (на основе его MAC-адреса ) на 192.168.2.12 с локальным шлюзом на 192.168.2.1, Я хочу заблокировать интернет-трафик к нему и от него , но Я хочу локальный сетевой трафик LAN доступ к U коробка бунту (только внутри) . Как я могу сделать это в iptables и сценарии маршрутизатора AdvanceTomato?
Я попробовал команды / синтаксис, указанные ниже:
######## block all internet to ip address but give access to LAN
iptables -I FORWARD -s 192.168.2.12 -j REJECT
####### Restarts the firewall to update iptables without reboot of router
service firewall restart
Но, похоже, он просачивается в Интернет
$ ping att.com
PING att.com (144.160.36.42) 56(84) bytes of data.
From unknown (192.168.2.1) icmp_seq=1 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=2 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=3 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=4 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=5 ttl=241 time=87.5 ms
From unknown (192.168.2.1) icmp_seq=6 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=7 ttl=241 time=64.8 ms
From unknown (192.168.2.1) icmp_seq=8 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=9 ttl=241 time=93.3 ms
Я использовать правильные команды / синтаксис для блокировки Интернета статического IP-адреса, назначенного DHCP, но разрешить внутренней сети LAN получить доступ к устройству?
Для справки я помещаю команды здесь.
1 ответ
Я знаю, что iptables немного раздражает при первом использовании, но когда вы понимаете, что такое цепочка, это действительно просто использовать. Вы должны прочитать несколько руководств по использованию iptables. А пока вы можете использовать этот небольшой скрипт iptables.sh, он не требует пояснений.
#!/bin/bash
# set default chain policy to ACCEPT everything
/sbin/iptables --policy INPUT ACCEPT
/sbin/iptables --policy FORWARD ACCEPT
/sbin/iptables --policy OUTPUT ACCEPT
# accept all INPUT and OUTPUT from and to the loopback-interface
/sbin/iptables --insert INPUT --in-interface lo --jump ACCEPT
/sbin/iptables --insert OUTPUT --out-interface lo --jump ACCEPT
# rules for chain INPUT
# reject all INPUT which is not from network 192.168.2.0 with subnetmask 255.255.255.0
/sbin/iptables --append INPUT --source !192.168.2.0/24 --jump REJECT
# rules for chain FORWARD
# reject all FORWARD which is not from network 192.168.2.0 with subnetmask 255.255.255.0
/sbin/iptables --append FORWARD --source !192.168.2.0/24 --jump REJECT
# reject all FORWARD which goes not to network 192.168.2.0 with subnetmask 255.255.255.0
/sbin/iptables --append FORWARD --destination !192.168.2.0/24 --jump REJECT
# rules for chain OUTPUT
# reject all OUTPUT which goes not to network 192.168.2.0 with subnetmask 255.255.255.0
/sbin/iptables --append OUTPUT --destination !192.168.2.0/24 --jump REJECT
PS Скрипт не тестировал, но все должно работать.