route 和 iptable的关系....

河边星星

因为有两块网卡的linux电脑做了一个动作就是
让192.168.6.0和192.168.7.0这个段可以互通的...所以你看到了如下信息
[root@shlinux root]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.7.0     *               255.255.255.0   U     0      0        0 eth0
192.168.6.0     *               255.255.255.0   U     0      0        0 eth1
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         192.168.7.252   0.0.0.0         UG    0      0        0 eth0

因为公司有一路由器..DHCP由有两块网卡的linux分配
在dhcpd.conf把网关都是指向路由器就和分相应的DNS就可以上网了
现在我把网关指向了
那台linux电脑...............
然后其中加了一条语句..
route add default gw 192.168.7.252 eth0
其中192.168.7.252为路由器的地址...
这样192.168.7.101是可以上外网的...
但是我想通过
[root@shlinux root]# iptables -A INPUT -s 192.168.7.101  -p tcp --dport 80 -j DROP
去限制...192.168.7.112不让其上外网...
不过,不行也...
不知道为什么...

河边星星

目的是把网关指向linux,但是又可以让.6段和.7段是通的...
然后在linux上做访问限制...
不过..我们是由ADSL+路由器上网的...

河边星星

搞定了..
大家一定会问为什么不把192.168.7.252拿掉..用linux做squid+nat来让局域网访问限制外网..因为公司有vpn..也是利用路由器的...所以...

-A FORWARD -s 192.168.7.101 -p udp -m udp --dport 80 -j DROP
-A FORWARD -s 192.168.7.101 -p tcp -m tcp --dport 80 -j DROP
即可....不让期访问外网...再加上...

glider126

呵呵～～
你一开始是-A INPUT  ，方向错了， 你的linux是路由器， INPUT是接受发给linux机器本身ip的包地方，路由到别的地方的包不可能到  INPUT的。