1 votos

IPTABLES DROP no golpea para dispositivos externos

Tengo un router/puerta de enlace que es 10.1.1.1/24 tengo un servidor que ejecuta Ubunutu servidor 16.04 con 3 interfaces. ens3 = 10.1.1.250/24 (fuera) ens4 = 10.1.2.250/24 (en el interior) ens5 = 10.1.3.250/24 (no se usa) He añadido una tabla de nat regla de SNAT la ens3 fuera de la interfaz.

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       all  --  any    ens3    anywhere             anywhere             to:10.1.1.250

el uso de un ordenador portátil, pongo mi puerta de enlace predeterminada para 10.1.2.250 ip para 10.1.2.22/24 y soy capaz de hacer ping a todos los interfaces del servidor, el router y a la red de internet.

He añadido una regla de filtro para colocar basada en ip de destino

Chain OUTPUT (policy ACCEPT 23 packets, 2564 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  any    any     anywhere             151.101.56.193

desde el servidor, tratando de ir a esa IP, la regla de los bloques de mi conexión y la cuenta de archivos correctamente, pero desde mi laptop se conecta a ens4 puedo hacer para el sitio y no se bloquea.

Lo que me estoy perdiendo?

0voto

GreyWolf Puntos 1

OUTPUT-chain es para paquetes originados desde el servidor mismo. Los paquetes de los clientes se deben bloquear en FORWARD-chain. Algo como esto: iptables -I FORWARD -d 151.101.56.193 -j DROP .

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: