|
|
iptables MAC 过滤问题
2012-5-18 23:33 Friday By somewood | 56 Views | 0 Comments
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 0:65535 -j DNAT --to 192.168.1.1:880
iptables -t nat -I PREROUTING -p udp -m udp --dport 0:65535 -j DNAT --to 192.168.1.1:880
iptables -t nat -I PREROUTING -m mac --mac-source 00:AA:AA:AA:AA:AA -j ACCEPT
iptables -t nat -I PREROUTING -m mac --mac-source 00:BB:BB:AA:AA:BB -j ACCEPT
有几个MAC要上网就写几个,其它的转向到192.168.1.1:880
想实现网络只能收发邮件其余全部禁止,所以除了53,25,110端口开放,其他端口全封,用iptables写了下规则,发现应用后端口全封了,貌似只有iptables -I INPUT -j DROP
生效了,前面的规则没有生效。实在闹不明白怎么回事,
以下是规则,请大侠指点下,谢谢
iptables -I INPUT -p tcp --dport 23 -j ACCEPT
iptables -I INPUT -p tcp --dport 25 -j ACCEPT
iptables -I INPUT -p tcp --dport 110 -j ACCEPT
iptables -I INPUT -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -j DROP
得到myeyre兄的指点,搞定了,赞一个!
我是DHCP分配IP地址的,ifconfig查看下端口,发现vlan1是wan口,于是改下规则,用-o指定界面为vlan1这样既禁止了访问外网的端口,又可以内网任意电脑管理路由器,很好!
iptables -I FORWARD -o vlan1 -j DROP
iptables -I FORWARD -p udp --dport 53 -j ACCEPT
iptables -I FORWARD -p tcp --dport 53 -j ACCEPT
iptables -I FORWARD -p tcp --dport 25 -j ACCEPT
iptables -I FORWARD -p tcp --dport 110 -j ACCEPT
网上搜到的,也没看懂 |
|