几条简单的规则,请大家帮忙,拒绝A类地址来的包

由 xiaojl 在 11-24-2002 19:27 发表:

几条简单的规则,请大家帮忙

linux高级网络应用服务指南中有以下几条规则

拒绝A类地址来的包

ipchains -A input -i $EXTERNAL_INTERFACE -s $CLASS_A -j DENY -l

ipchains -A input -i $EXTERNAL_INTERFACE -d $CLASS_A -j DENY -l

ipchains -A output -i $EXTERNAL_INTERFACE -s $CLASS_A -j REJECT -l

ipchains -A output -i $EXTERNAL_INTERFACE -d $CLASS_A -j REJECT -l

其中第一句和第三句有什么区别,也就是input,output有什么区别


由 solaris 在 11-25-2002 10:37 发表:


input是接收的包,output是发出的包


由 xiaojl 在 11-25-2002 16:27 发表:

总算有人回应了

先谢了

input 是谁接收的包,是不是防火墙,output是谁发出的包,是防火墙吗,如果把源地址和目标地址对换,是不是input也可以对换(接收和发送是相对来说的)

希望solaris能回应


由 hqxyn 在 11-25-2002 20:17 发表:

Re: 总算有人回应了

> quote: > > * * * > > 最初由 xiaojl 发布
>
> **先谢了
>
> input 是谁接收的包,是不是防火墙,output是谁发出的包,是防火墙吗,如果把源地址和目标地址对换,是不是input也可以对换(接收和发送是相对来说的)
>
> 希望solaris能回应 ** > > * * *

input和output不能对换,把$EXTERNAL_INTERFACE看做"门",从本机出去的包由output过滤,本地ip为源。进入本机的包input过滤,对方地址为源。


由 xiaojl 在 11-26-2002 12:42 发表:

那我的第一句是不是出去的包

那我的第一句是不是本机出去的包,怎么用input,有了第一句是不是第3句可以省略


由 solaris 在 11-26-2002 15:42 发表:


我给你解释一下:

(假设$EXTERNAL_INTERFACE为eth0,$CLASS_A为10.0.0.0/8)

ipchains -A input -i $EXTERNAL_INTERFACE -s $CLASS_A -j DENY -l

所有从eth0口进来的源地址为10.0.0.0/8网内地址的包,全部deny。

ipchains -A input -i $EXTERNAL_INTERFACE -d $CLASS_A -j DENY -l

所有从eth0口进来的目的地址为10.0.0.0/8网内地址的包,全部deny。

ipchains -A output -o $EXTERNAL_INTERFACE -s $CLASS_A -j REJECT -l

所有从eth0口出去的源地址为10.0.0.0/8网内地址的包,全部reject。

ipchains -A output -o $EXTERNAL_INTERFACE -d $CLASS_A -j REJECT -l

所有从eth0口出去的目的地址为10.0.0.0/8网内地址的包,全部reject。

注意: input和output都是针对本机而言的, 如果是traverse的话(相当与路由器)规则

Published At
Categories with 服务器类
Tagged with
comments powered by Disqus