web-dev-qa-db-ja.com

iptablesで特定の発信IP接続のみをブロックする方法

（Centos 5.5）xxx.xxx.xxx.xxxをブロックするには：

# iptables -A OUTPUT -j DROP -d xxx.xxx.xxx.xxx

次に確認する：

# iptables -L OUTPUT --line-numbers

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere
2    ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
3    DROP       all  --  anywhere             xxx.xxx.xxx.xxx

それは機能しません。何を間違えたか

3

2015/03/05cidfenmaria

ACCEPTがテーブルのどこからでも最初にあるため、一致し、DROPルールに到達することはありません。

この場合、-Iではなく-Aを使用して、ルールをテーブルの先頭に挿入します。

スクリプトを作成する場合、-Aを使用することをお勧めします。その場合、ルールはスクリプトにリストされているのと同じ順序で追加されます。

5

2015/03/05wurtel