我有一个路由器/网关是10.1.1.1/24我有一个服务器运行Ubunutu服务器16.04 3接口。 ens3 = 10.1.1.250/24(outside)ens4 = 10.1.2.250/24(inside)ens5 = 10.1.3.250/24(尚未使用)我添加了一个nat表规则来SNAT ens3外部接口。
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- any ens3 anywhere anywhere to:10.1.1.250 使用笔记本电脑我设置我的默认网关10.1.2.250和IP到10.1.2.22/24,我能ping通所有的服务器接口,路由器和互联网。
我添加了一个filter规则,根据目的IP地址丢弃
Chain OUTPUT (policy ACCEPT 23 packets, 2564 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- any any anywhere 151.101.56.193
从服务器试图去那个IP,规则阻止我的连接,并logging正确的计数,但从我的笔记本电脑连接在ens4我可以把它的网站,并没有被阻止。
我错过了什么?
OUTPUT链是从服务器本身发出的数据包。 客户端的数据包应该被阻塞在FORWARD链上。 就像这样: iptables -I FORWARD -d 151.101.56.193 -j DROP 。