设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 求iptables大神,看看这个问题如何解?
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
返回列表 发新帖
查看: 887|回复: 4

求iptables大神,看看这个问题如何解?

[复制链接]
aricmjj6
发表于 2019-8-24 00:00:09 | 显示全部楼层 |阅读模式
网络如图:

在中间的Padavan路由器上写规则。左边的设备不能和cf进行v6连接。但是cf能够正常和右边的Server正常v6连接、回源
我的思路是这样
全局先写一条指定mac地址为linux server的白名单,accept来自cf的连接
再写一条地址cf-v6地址的drop规则。
ip6tables -I FORWARD -p tcp --dport 443 -s 2606:4700::/32 -m mac --mac-source 11:22:33:44:55:66 -j ACCEPT
ip6tables -A FORWARD -p all -s 2606:4700::/32 -j ACCEPT
实际发现根本不可行,百思不得其解,是不是我的根据mac地址来accpet的思路错了?
谢谢大神指导!
回复

举报

aricmjj6
 楼主| 发表于 2019-8-24 00:01:28 | 显示全部楼层
上面命令的第二条写错了,动作应为drop
回复 支持 反对

举报

Waylon
发表于 2019-8-24 00:18:14 | 显示全部楼层
不行是指,哪一方面没达到预期效果?
回复 支持 反对

举报

aricmjj6
 楼主| 发表于 2019-8-24 00:23:38 | 显示全部楼层
Waylon 发表于 2019-8-24 00:18
不行是指,哪一方面没达到预期效果?

左边的设备屏蔽正常,右边的Server用v6也连不上cf,没法回源
简单点说左边通,右边开。地址不固定
回复 支持 反对

举报

Waylon
发表于 2019-8-24 01:08:14 | 显示全部楼层
不方便模拟场景,,看着策略理论上没问题,,,但是要考虑MAC地址的因素,
在路由器前端抓包,看TCP包是什么MAC地址
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-4-26 13:09 , Processed in 0.062081 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表