server1 – eth0 – 192.168.1.212(192.168.1.0/24) – eth1 – 192.168.5.1(192.168.5.0/24) – > router2 – > DSL
server2 – eth0 – 192.168.1.223(192.168.1.0/24) – eth1 – 192.168.123.223(192.168.123.0/24)
(DSL)router2 < – > server1 < – > server2
在server1上
route add -net 192.168.123.0/24 gw 192.168.1.223 dev eth0 iptables -A FORWARD -s 192.168.123.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.123.0/24 -j ACCEPT 那么,networking192.168.123.0/24也可以到达192.168.1.0/24和router2。 没关系
我想拒绝networking192.168.123.0/24查看192.168.1.0/24上的所有主机。
我build议你使用像Shorewall这样的防火墙pipe理软件包来configuration防火墙,而不是自己使用iptables 。 在那里,您可以轻松地在networking中configuration不同的区域,并configuration它们之间的访问。
但是,如果只想使用iptables ,请在route命令之后添加以下行:
iptables -A FORWARD -s 192.168.123.0/24 -d 192.168.1.0/24 -j REJECT