我的 CSF 上有一個重定向規則,如下圖;
17.1.1.13|80|27.5.5.22|80|tcp
17.1.1.13是我的防火牆(csf),27.5.5.22是我的網路伺服器位址。所以每個人都透過防火牆造訪我的網站。阻止 CSF (iptables) 上的重定向規則
我一直在嘗試阻止50.30.0.0/16CIDR 區塊,它已添加到我的csf.deny檔案中。
44.5.6.7現在,如果我嘗試使用IP 位址存取網站,就可以了。雖然50.30.0.1被封鎖了,但我可以使用IP位址訪問網站。我想50.30.0.1在所有情況下都阻止。
我的 iptables 的相關行如下圖所示。我該怎麼辦?
Chain DENYIN (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOGDROPIN all -- !lo * 50.30.0.0/16 0.0.0.0/0
Chain DENYOUT (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOGDROPOUT all -- * !lo 0.0.0.0/0 50.30.0.0/16
Chain PREROUTING (policy ACCEPT 7 packets, 336 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 REDIRECT tcp -- !lo * 50.30.0.0/16 0.0.0.0/0
2 0 0 REDIRECT tcp -- !lo * 50.30.0.0/16 0.0.0.0/0
3 0 0 DNAT tcp -- !lo * 0.0.0.0/0 17.1.1.13
4 0 0 DNAT tcp -- !lo * 0.0.0.0/0 17.1.1.13
Chain POSTROUTING (policy ACCEPT 6 packets, 699 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 SNAT tcp -- * !lo 0.0.0.0/0 27.5.5.22
2 0 0 SNAT tcp -- * !lo 0.0.0.0/0 27.5.5.22
答案1
當您使用 -A(for APPEND)iptables 命令時,您的規則將會新增到表格的末尾。
規則的評估方式是從第一個到最後一個,任何導致決策 ( ACCEPT、REJECT、DENY) 的匹配規則都會停止對任何後續規則的評估。
所以在這裡,你的DROP規則永遠不會重要,因為如果iptables評估它,它無論如何都會進入DROP策略。
ACCEPT您需要在您希望相應的 IP 位址無法存取的任何規則之前新增您的規則。我猜想這是你的情況的第一條規則。
這會是這樣的
iptables -I INPUT -s 5.254.0.0/16 -j DROP
它將在表的開頭添加規則,因此首先考慮它,並忽略任何匹配 IP 的其餘規則,哪些資料包將被丟棄。
請注意,如果您需要更精確地確定規則插入的位置,您可以在 後面指定一個位置編號-I。