有没有办法使用“iptables”构建防火墙规则,在输入和输出上过滤数据包?我只能找到如下规则,这些规则允许您将其指定为应用于数据包源 (INPUT) 或目标 (OUTPUT)。
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP.
不过,我应该能够过滤来自和去往特定位置的数据包,这样我就可以得到一个如下所示的 fw 表,这是有道理的:
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 172.152.4.0/24 92.3.0.0/16
有什么建议么?
谢谢!
是和不是。
不,因为:iptables 的工作原理是首先根据数据包的分类(输入、输出、转发、...)定义如何处理数据包,然后再根据特定特征(源或目标地址、协议类型、源或目标端口、 ETC)。您永远不能定义不适用于特定链的 iptable 规则。
INPUT、OUTPUT 和 FORWARD 是 iptables 系统的默认链。INPUT 使用目标 localhost 寻址所有内容(即寻址到您的网络设备);OUTPUT 适用于源 localhost 的所有内容(即来自您的计算机)。
是的,因为:您可以定义自定义链。你可以这样做
sudo iptables -N MYCHAIN
那么您可以将数据包从 INPUT 和 OUTPUT(如果您喜欢 FORWARD)链发送到 MYCHAIN,例如来自 INPUT 的所有 TCP 包:
sudo iptables -A INPUT -p tcp -j MYCHAIN
或来自 OUTPUT 的所有包
sudo iptables -A OUTPUT -j MYCHAIN
然后你可以为 mychain 定义任何你想要的规则,包括
sudo iptables -A MYCHAIN -s 172.152.4.0/24 -d 92.3.0.0/16 -j ACCEPT
这应该或多或少是你想要的规则
然而,有人可能会争辩说,将 INPUT 和 OUTPUT 链分开确实是有意义的。大多数用户希望对 INPUT 和 FORWARD 应用比对 OUTPUT 更严格的规则。此外,iptables 可用于路由,在这种情况下,如果您有传入或传出包,它会产生根本性的不同。