Section outline

  • 在本任务中,我们将在路由器上设置防火墙规则,以保护内部网络 192.168.60.0/24 。我们需要使用 FORWARD 链来完成这一任务。
     
    INPUT 和 OUTPUT 链中的数据包方向是明确的:数据包要么进入(INPUT),要么出去(OUTPUT)。 但是,FORWARD 链不同,它是双向的:进入内部网络或从外部网络出去的所有数据包都会经过此链。为了指定方向,我们可以使用 "-i xyz" 选项(来自 xyz 接口)或 "-o xyz" 选项(从 xyz 接口出去)。你可以通过运行 "ip addr" 命令来得到接口名称。
     
    在本任务中,我们希望实现一个防火墙,来保护内部网络。具体来说,我们需要对 ICMP 流量实施以下限制:
    • 外部主机不能 ping 内部主机
    • 外部主机可以 ping 路由器
    • 内部主机可以 ping 外部主机
    • 内外部网络之间的其他数据包应当被阻止

    你需要使用  "-p icmp"}  选项来设置与 ICMP 协议相关的规则。你可以运行  "iptables -p icmp -h" 来查看 ICMP 的规则说明。下面的例子会阻止 ICMP 回显请求。

    iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
     
    在你的实验报告中,请包含你的规则和截图,以证明防火墙的配置按预期工作。完成此任务后,请记得清理规则表,或在继续下一个任务之前重启容器。