3

CentOSを使用しています。

IPTable テスト環境で次のことを行いました。を使用して、すべてのルールをフラッシュしました

    iptables -F

次に、次のルールを追加しました。

    iptables -I INPUT -p all -j ACCEPT

次に、観察に基づいて、このルールを追加しました。

    iptables -A INPUT -s 192.168.2.50 -j DROP

私は実行しました

    service iptable save

その後、ブロックされた IP (192.168.2.50) に ping を実行しようとしました。私はまだそれをpingでき、ブロックされたIPは私にpingできます。

ブロックされた IP からの着信接続をブロックしたい。

これはiptables -Lの私の出力です

    Chain INPUT (policy DROP) target prot opt source destination

    ACCEPT all -- anywhere anywhere
    DROP all -- 192.168.2.50 anywhere

    Chain FORWARD (policy DROP) target prot opt source destination

    Chain OUTPUT (policy ACCEPT) target prot opt source destination

    Chain icmp_packets (0 references) target prot opt source destination

    Chain tcp_packets (0 references) target prot opt source destination

助けてください..ありがとう..

4

2 に答える 2

3

iptables は一連のルールで動作します。チェーン内では、ルールは最初 (一番上) から最後まで順番にパケットに適用されます。最初のルールACCEPT all -- anywhere anywhereでは、チェーンを通過するすべてのパケットが受け入れられるため、すべてをドロップする必要がある次のルールに進むことはありません。したがって、すべてのトラフィックをマシンにドロップしたい場合は、最初のルールiptables -D INPUT 1を削除して、入力チェーンの最初のルールを削除し、すべてのドロップ ルールのみを残します。次に、accept all ルールを で再度追加しiptables -A INPUT -p all -j ACCEPTます。これにより、ブロックされた IP 以外からのすべてのパケットが通過できるようになります。

于 2013-06-18T08:44:39.360 に答える
1

iptables -A INPUT -s 192.168.2.50 -j DROP 前にやるべきだと思います iptables -I INPUT -p all -j ACCEPT

于 2013-06-18T09:30:59.980 に答える