无法限制内部用户NAT

芝麻

曾经看到高手介绍禁止内网NAT可用下列命令：
iptables -A FORWARD -s 192.168.1.0/24 -m ttl --ttl 127 -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -m ttl --ttl 31 -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -m ttl --ttl 63 -j DROP

我用的是coyote linux 2.24，在命令行下运行说“no chain/target/match by that name”，但我检查过队列名没有错。

另一种办法是让ttl值为就到不了下一跳命令：
iptables -t mangle -A PREROUTING -i eth1 -d 192.168.1.0/24 -p udp --sport 53 -j TTL --ttl-set 1
也报同样的错误。
我测试的时候内网地址为192.168.1.x，内网的内网地址为192.168.100.x

大虾们帮帮忙，是哪里出问题了？谢谢。

stockcrack

那是因为你所使用的Coyote版本不支持-m ttl 这个命令。你可以使用想得太美的硬盘版Coyote修改版，该版本支持对TTL值进行操作的功能。

想得太美的硬盘版Coyote修改版
http://www.routerclub.com/thread-9099-1-1.html

或者使用反网络尖兵的光盘安装版本试试看。

芝麻

谢谢,那是不是我把coyote linux升到2.24版之后就可以了?因为我还是想用官方的2.24版.
或者把太美老大编译的root.tgz覆盖硬盘上的同名文件,把linux-ata-cdrom改名为linux,然后覆盖硬盘上的同名文件?

stockcrack

想得太美的硬盘版Coyote修改版具体安装方法在上面那个链接已经说得很清楚了，你照做就行了。官方版本的Coyote没有TTL设定功能。至于用单个文件覆盖的方法是否可行，你自己可以试试看，只要在命令行下运行有关TTL的命令不再提示“no chain/target/match by that name”，就说明此时你的Coyote已支持TTL设定功能。