Параметры настройки системы> Клавиатура> Ярлыки> Навигация> Скрывают все нормальные окна
Нажмите второе поле, которое говорит Disabled
и введите в предпочтительном сочетании клавиш (например, Ctrl+Alt+D
).
Системный перезапуск может требоваться для изменений вступить в силу.
Мой вопрос: Почему для компьютера на 172.16.2.0/24 подсети возможно проверить с помощью ping-запросов 172.16.1.1 (IP-адрес интерфейса eth1)?
Поскольку Вы позволили его, и Linux делает это по умолчанию.
Linux использует то, что называют слабой моделью хоста. Это означает, когда это получает пакет, прибывающий из eth2
, это будет полагать, что пакет для него, если адрес назначения будет IP-адресом какого-либо из его интерфейсов, не только eth2
. Даже если передача отключена.
Так, чтобы пакет ввел рычаг PREROUTING, ядро затем видят, что адрес назначения - так возобновите ВХОДНОЙ рычаг, и Вы принимаете весь ICMP от eth2
, таким образом, пакет принят.
Можно проверить с помощью ping-запросов 172.16.2.0/24 подсеть от 172.16.1.1, в то время как брандмауэр не включает основанные на IP правила, и Вы позволяете весь трафик от обоих eth1
и eth2
кому: eth0
(не IP базировался, включая такое перенаправление и задние пакеты),
Хорошим путем является к Отбрасыванию explicitely весь пакет, связанный с IP локальной подсети:
iptables -I FORWARD -i eth0 -d 192.168.0.0/16 -j DROP
iptables -I FORWARD -i eth0 -d 172.16.0.0/12 -j DROP
iptables -I FORWARD -i eth0 -d 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth1 -s 172.16.1.1/24 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -d 172.16.1.1/24 -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -s 172.16.2.1/24 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth2 -d 172.16.2.1/24 -i eth0 -j ACCEPT
Для образца, где eth2
связан с Вашим dmz и eth1
к localnet.
с этим, Вы май способным к доступу 172.16.2.1/24
от 172.16.1.1/24
, но не другим способом!