У меня такая схема
маршрутизатор 192.168.2.254/24
eth0-192.168.2.1
br0
eth1-192.168.4.1/24
user- 192.168.2.2/24
и подключены eth0 и eth1 вот так, чтобы разрешить прохождение пакетов brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 dhclient br0
и пользователь может пинговать маршрутизатор напрямую, но я хочу заблокировать этот пинг
я пробовал даже
iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
и пользователь все еще может пинговать маршрутизатор, что я делаю не так?
Мост предназначен для соединения двух интерфейсов, находящихся в той же подсети .
Если у вас разные подсети и вы хотите, чтобы они взаимодействовали друг с другом, вам необходимо включить маршрутизацию echo 1> / proc / sys / net / ipv4 / ip_forward
, но по умолчанию это не включено, поэтому они не смогут разговаривать друг с другом.
Изменить: соединение двух интерфейсов в разных подсетях будет работать, но это не традиционная установка. Если вы хотите сохранить такую конфигурацию, вам придется использовать ebtables
вместо iptables
для блокировки трафика.
Вы должны определить свои iptables с IP-адресом маршрутизатора. Любые пользователи не могут пинговать IP-адрес маршрутизатора. Вашим примером были общие правила iptables. Удаление протокола icmp было правильным для предотвращения пинга.