June 07, 2004

iptables rule issue

內部網路環境 192.168.0.0/24, 要阻檔內部連外的 tcp port 2000-20000
使用下面這個 rule , 看似正確, 而嚴格說起來這樣的 rule 是有問題的
iptables -A FORWARD -p tcp --dport 2000:20000 -j DROP

為什麼?
因為有可能誤檔回來封包的連線, 有一個連線 sport 3000, dport 80
這封包就出得去, 但是回不來, 因為回來的封包符合上面的 rule
正確的做法應該用
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 2000:20000 -j DROP

Posted by pank at June 7, 2004 09:48 AM
Comments
Post a comment













Remember personal info?