我有一台运行 Debian 的设备,需要充当互联网网关。最重要的是,我想提供一个防火墙,不仅可以阻止入站流量,还可以阻止出站流量。我认为 iptables 应该能够完成这项工作。
问题:我已经正确配置了 NAT(我认为?),但是一旦我将默认策略设置为 DROP 并添加规则以允许来自 LAN 内部的 HTTP 流量,HTTP 就不会通过。所以基本上我的规则似乎不起作用。
下面是我用于 iptables 的初始化脚本。该设备有两个网卡,分别是 eth0(WAN 接口)和 eth1(LAN 接口)。
echo 1 > /proc/sys/net/ipv4/ip_forward
# Flush tables
iptables -F
iptables -t nat -F
# Set policies
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Allow outbound HTTP from LAN?
iptables -A FORWARD -i …