小弟有个头疼的问题，请大虾们帮帮忙

kimjiang

我办公室里的电脑都是在192.168.0这个网段的，但有些同事工作时打游戏，老总对此很不满要我禁止一部分的IP上网，就是说，只让192.168.0.1~10上网，不让192.168.0.11~254这部分IP上网，我们所有电脑都是连在一个交换机上的。
这是我的rc.local文件内容：


#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



请问我该添加哪些脚本才能达到上面的目的？

Yuri

iptables -A INPUT -s 192.168.2.1-10 -j ACCETP
iptables -A INPUT -s 192.168.2.11-254 -j DROP

kimjiang

多谢yuri-master !!!

999110022

为什么不是:iptables -A OUTPUT -s 192.168.0.1-10 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11-254 -j  DROP??

memory

Post by yuri-master
iptables -A INPUT -s 192.168.2.1-10 -j ACCETP
iptables -A INPUT -s 192.168.2.11-254 -j DROP

1、-s 192.168.2.1-10 这种写法有问题，iptables不能接受这种形式得地址；
2、-A INPUT 应该操作FORWARD链。


iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.2.11 -j DROP
iptables -A FORWARD -s 192.168.2.0/29 -j ACCEPT
iptables -A FORWARD -s 192.168.2.8/30 -j ACCEPT

kimjiang

晕了，不知道该听谁的了？！！

abby

INPUT和OUTPUT是网关本机进程和外界的通讯经过的规则链，跟内网的计算机无关。
内网跟internet通讯就是转发，一定会经过FORWARD。