如何隔离内外网(限制外网访问内网)???
内网有几台服务器使用了公网IP地址,所以是不需要伪装直接路由到外网的,现在发现默认的防火墙是允许,服务器是完全暴露在外网上的,在外网直接可以使用IP访问公网IP的服务器。曾经尝试在filter中使用forward对目标地址为服务器IP进行DROP操作,结果发现这个forward是双向的,连服务器访问外网也一并被DROP掉。(input和output只对ROUTEROS接口地址操作有效)
有没有办法实现单向的拦截,内网服务器可以访问外网(上网),但是不能被外网访问到(隔离外网访问)???? 原地址为 非内网IP目的 地址为服务器 IP 这样DROP 即可 正解~:):):):) 楼上正解!!! qq1743826350 发表于 2013-6-4 09:26 static/image/common/back.gif
原地址为 非内网IP目的 地址为服务器 IP 这样DROP 即可
这样做服务器还能上网么?很明显不能的吧。解决不了问题。 qq1743826350 发表于 2013-6-4 09:26 static/image/common/back.gif
原地址为 非内网IP目的 地址为服务器 IP 这样DROP 即可
这样双向都被禁止了,服务器上不了外网,外网也访问不了服务器。 gzlpd 发表于 2013-6-6 07:38 static/image/common/back.gif
这样双向都被禁止了,服务器上不了外网,外网也访问不了服务器。
可以先标记出是哪方面先发出的连接,再DROP掉。 做nat伪装呗
页:
[1]