首先配置路由环境:
A机:只需要桥接网卡,作为外网。IP:172.17.252.227
添加路由记录route add default gw 172.17.123.224
B机:路由器,两个网卡都有,作为防火墙。IP:172.17.123.224 192.168.199.138
开启转发功能:
echo 1 > /proc/sys/net/ipv4/ip_forward
或者vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
C机:只需要仅主机网卡,作为内网。IP:192.168.199.142
添加路由记录route add default gw 192.168.199.138
在防火墙上添加规则(C机):
iptables -A FORWARD -s 192.168.199.142 -d 172.17.0.0/16 -m state --state NEW -j ACCEPT 对内网到外网的新连接允许转发
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT 允许已经建立的连接
iptables -A FORWARD -j REJECT 拒绝其他所有
实现效果:外网无法访问内网,但是内网可以访问外网
A机:
650) this.width=650;" src="https://s5.51cto.com/oss/201710/31/f32b3760f267e2c2b49cf29a5cadc296.jpg" style="float:none;" title="图片1.jpg" alt="f32b3760f267e2c2b49cf29a5cadc296.jpg" />
C机:
650) this.width=650;" src="https://s5.51cto.com/oss/201710/31/44b1d1cce15c9661a0fbf33604e83bdf.jpg" title="图片2.jpg" style="float:none;" alt="44b1d1cce15c9661a0fbf33604e83bdf.jpg" />
实验----禁止internet 访问内网
原文地址:http://13150617.blog.51cto.com/13140617/1977822