一个本机路由的问题

pkcs11

我使用两个网卡，连接两个不同的网络。这两个网络都可以访问到我的机器。两个网络使用不同的网段 192.168.1.0 和10.0.0.0

eth1 上的地址是10.0.0.1,apache绑定 10.0.0.1 。
之所以apache这样绑定。就是不希望 eth0 上连接的机器访问到 apache的服务。我可能在eth0上另外起一个apache，两个apache的内容是不同的。
现在的问题是当 eth0上连接的机器将网关设置为 eth0地址的时候。就可以访问到eth1的地址。说起来这可能是linux路由的一个优点。
但是从安全性上讲，可能是个缺点。
由于我可能经常变动 eth0 eth1的地址。因此不希望在使用的某个命令里面包含eth0或者eth1的地址。
使用iptables 好像必须包含 eth1 的地址。要是那天改了eth1的地址，而没有运行iptables 命令，就又要出问题。
而我希望能够通过修改路由的特性来解决这个问题。如果iptables命令里面不含有地址也可以。简单的封掉eth0:80端口也不可以。我有可能在eth0上也起一个apache的。

szkingrose

写了一个shell不就成了吗？
修改IP也是可以写在shell中的啊。

pkcs11

这个问题其实是出在路由上，我还是希望能够在路由这个层面上解决。

szkingrose

这同路由没多大关系。你一个服务器上有两个网卡，当然默认的路由规则就是客户端在服务器两个网卡上都能访问。

用iptables是可以锁定ip和port的。看怎么运用。

ldqqxf

如果两个网段最开始就不互相访问，就在/PROC/SYS/NET/IPV4/IP_forward 里设为0

pkcs11

设置IP_forward 是没有用的。我已经做过试验了。
好像这个只对两个网段里的机器起作用，但是对跨两个网段的这台机器是没有用的。
从我做试验的情况看。即便将IP_forward 设为0 ，从eth0 的网段上，还是可以访问到eth1绑定的地址。
但是访问不到eth1上连接的其他机器。

szkingrose

你要禁止的话，用路由方式很难解决。你就用iptables吧。

pkcs11

的确像你说的。用路由的方式不好处理。所以到这里来问问。
多谢大家的帮助。

suhe

iptables -A INPUT -s 192.168.1.0 -p tcp --dport 80 -j DROP