请解释一下:不明白IPTABLES是如何防止外网欺骗的,见附件一个脚本

zswlb9999

两个疑惑:
引自附件
本脚本环境为eth0外网，eth1内网；
#外网网卡
EXT_IF="eth0"
FW_IP="61.137.85.21"
#内网网卡
INT_IF="eth1"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/255.255.255.0"


1)下面语句是如何实现拒绝欺骗的
#拒绝外部使用内网进行欺骗
#deny local cheat
iptables -A INPUT -i $EXT_IF -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i $EXT_IF -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $EXT_IF -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i $EXT_IF -s 127.0.0.0/8 -j DROP
2)iptables 可以处理mac吗?
#根据mac屏蔽主机上网
###-------------------------------------------------------------------------###
#iptables -t nat -I PREROUTING -m mac --mac-source 4C:00:108:57:F3 -j DROP
###-----------------------------------------------------###

piaopiao

包跟包是怎么沟通的？就象人跟人沟通一样，告诉对方我叫什么名字，我来自哪里。人的沟通信息可以是假的，包也一样。所以要把包先剥皮，是剥掉羊皮。这里的羊皮是局域网地址如192.168，
10.0，172.16，127.0。去掉皮后发现是通过外网网卡进行沟通的，那么这个包是有问题的。

jacuro

这里和皮什么的没关系。只是通过限定来自外网网卡的数据源IP不能是内网IP而已。

piaopiao

怎么限定呢？你没回答到要点。

jacuro

Post by piaopiao;2141493
怎么限定呢？你没回答到要点。

-i指定数据从哪个网卡进来，-s指定源地址。一个广告语:“把简单的问题搞复杂了，太累”