iptables的INPUT方向

happycai

偶的网络拓朴是这样的
偶有一个局域网，通过Linux主机，进行IP包伪装（SNAT），上Internet
现在偶想让Internet的主机不能访问Linux主机的80端口，而内网的可以
偶的Linux主机eth0绑定外网IP（1.2.3.4），eth1绑定192.168.100.1
现在偶添加如下规则
iptables -A INPUT -i eth0 -p TCP --dport 80 -j DROP
请问这个是DROP掉外网主机的连接，还是连内网的也DROP了
谢谢！！

7dehao

最初由 happycai 发表
偶的网络拓朴是这样的
偶有一个局域网，通过Linux主机，进行IP包伪装（SNAT），上Internet
现在偶想让Internet的主机不能访问Linux主机的80端口，而内网的可以
偶的Linux主机eth0绑定外网IP（1.2.3.4），eth1绑定192.168.100.1
现在偶添加如下规则
iptables -A INPUT -i eth0 -p TCP --dport 80 -j DROP
请问这个是DROP掉外网主机的连接，还是连内网的也DROP了
谢谢！！

你没有指明源地址和目的地址呀？-s 0/0 这就把所有的主机都封掉了。你在下面可以再加一条允许内网ip的主机访问就可以了。
iptables -A INPUT -i eth0 -p tcp -d 192.168.100.1/255.255.255.0 --dport 80 -j ACCEPT

cbchen

好像内网的不会被DROP吧？内网的包根本就不会转到ETH0去，经过试验，来自内网的访问的确不会被DROP