|
楼主n1刷f大的直刷op固件做主路由,内网有台设备会一直向外网发udp包,于是我在防火墙规则里限制了它,一开始限制地好好的,但后面就没效果了,任何添加的限制对外网发数据规则都没作用,我怀疑是防火墙的原因,于是花了一小时重新把linux的iptables复习了一遍 ,再看op里面的防火墙规则,最后发现问题就在这里
在forward链里有一条规则是允许通过来源为200.0的包(这个就是我的内网网段),这条规则是virtual**服务器新增的,目的是为了连进来的客户端可以支持nat转发,而且规则是在zone_lan_forward上面,我们在网络-防火墙里配置的转发规则在zone_lan_forward里面,导致所有内网往外发的包还没走到我配的规则就被设为accept了,所以限制没有生效,为了验证我把virtual**服务器关了这条规则里面的内容就没了,同时限制也生效了。所以解决方法就很容易了,只要把这条规则往下挪,挪动到zone_lan_forwad后面就行,这样起码包会走一遍我配置的规则,但问题来了,这条forwardding_rule是加载防火墙之后动态添加的,执行的时机比在网络-防火墙自定义规则还要晚,导致无论自定义了什么规则,启动完防火墙最后一定会在这条链第二个位置添加这个规则,导致不能生效。想问问大家是怎么解决这个问题的。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|