这条规则可否过滤icmp和dns包
iptables -t filter -I FORWARD 1 -s ! 192.168.1.0/24 -i br0 --jump DROP
能不能过滤不是192.168.1.0/24 的icmp和dns包?
ping 一个网址和打开一个网页好像不匹配这条规则,而ping一个ip可以匹配。
iptables -t nat -I PREROUTING 1 -s ! 192.168.1.0/24 -i br0 --jump DROP
要用这条规则,请高手解答 ,谢谢
pc1---------------ADSL----------internet
192.168.1.0/24
pc2---------------ADSL----------internet
192.168.2.0/24
(抓包点) 在ADSL的ppp接口上
pc接在br0(lan)接口上
[ 本帖最后由 hardie 于 2009-4-14 14:07 编辑 ]
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(5)
ICMP最好去-p指定协议类型;DNS最好去指明服务端口。
逻辑有问题,实现方式和需求不搭噶
1:过滤DNS包
执行命令:iptables -A FORWARD -p tcp --dport 53 -j DROP
iptables -A FORWARD -p udp --dport 53 -j DROP
2:过滤icmp包:
执行命令:iptables -A FORWARD -P icmp -j DROP
楼上的是正解。 但是 iptables -A FORWARD -p udp --dport 53 -j DROP,可以不用加,因为在客户端解析dns时用不到tcp
怎么我这边只dns有prerouting里面才能过滤,forward过滤不了。